[youheardit]

PHP-kod:

$sokning2 = $_POST['sokning2'];
$sokning = $_POST['sokning'];
$hamtainfo = mysql_query("SELECT * from databasen2009 where soktermen like '%$sokning%' OR soktermen like '%$sokning2%'"); 


[Jonas]

Citat:

Ursprungligen postat av youheardit

PHP-kod:

$sokning2 = $_POST['sokning2'];
$sokning = $_POST['sokning'];
$hamtainfo = mysql_query("SELECT * from databasen2009 where soktermen like '%$sokning%' OR soktermen like '%$sokning2%'"); 


PHP-kod:

$sokning2 = mysql_real_escape_string($_POST['sokning2']);
$sokning = mysql_real_escape_string($_POST['sokning']);
$hamtainfo = mysql_query("SELECT * from databasen2009 where soktermen like '%" . $sokning . "%' OR soktermen like '%" . $sokning2 . "%'"); 


Skriv kod som folk kan använda eller påpeka möjliga säkerhetshål!

[youheardit]

Citat:

Ursprungligen postat av Jonas

Skriv kod som folk kan använda eller påpeka möjliga säkerhetshål!

jojo, sant, men tänkte mer på att det borde han ju själv förstå, annars ska man ju inte syssla med en sådan bit om man inte vet hur det gäller med säkerheten, såg mer detta som en förklaring av sqlfrågan.

Men som Jonas visar ska du använda dig av mysql_real_escape_string innan du kör frågan.

[Nihilnovi]

Citat:

Ursprungligen postat av Jonas

PHP-kod:

$sokning2 = mysql_real_escape_string($_POST['sokning2']);
$sokning = mysql_real_escape_string($_POST['sokning']);
$hamtainfo = mysql_query("SELECT * from databasen2009 where soktermen like '%" . $sokning . "%' OR soktermen like '%" . $sokning2 . "%'"); 


Skriv kod som folk kan använda eller påpeka möjliga säkerhetshål!

Egentligen borde man säga att han ska använda mysqli, inte mysql för att just slippa dessa säkerhetshål helt, trodde inte folk använde mysql längre alls