Apostrof i MySQL

Dimme · 2012-02-26, 00:42

Om du använder mysql_real_escape_string($string) kom ihåg att anropa stripslashes($escapedString) när du hämta innehåll från databasen.

Annars kommer det du hämtar se ut så här:

Let\'s Eat istället för Let's Eat

Förresten, du borde läsa dig på MySQL injections, mysql_real_escape_string() löser en hel del men inte allt. Det går fortfarande att injecta en fråga som ser ut så här:

mysql_query("SELECT * FROM users WHERE name = $name");

Se till att alltid skriva dina frågor så här:

mysql_query("SELECT * FROM users WHERE name = '$name' ");

Och glöm inte escapa alla strängar och kasta om alla tal (T.ex. $id = (int)$_GET['id'];)

dAEk · 2012-02-26, 07:52

Eller så kör man med prepared statements. Det ser ut som vanliga Sql-statements men med variabler, om man ska förklara skillnaden i bara en mening. Fördelen är att man slipper tänka på Sql-injections (fnuttar och dylika tecken) samt att man får andra fördelar som t.ex. att frågorna kan kompileras, cachas och optimeras av databasmotorn.

För PHP verkar det som att det mest använda ramverket som fixar detta är PDO. Jag är ingen PHP-snubbe så det kan ha ploppat upp nyare alternativ den senaste tiden.

tartareandesire · 2012-02-26, 09:23

Citat:

Ursprungligen postat av Dimme

Om du använder mysql_real_escape_string($string) kom ihåg att anropa stripslashes($escapedString) när du hämta innehåll från databasen.

Annars kommer det du hämtar se ut så här:

Let\'s Eat istället för Let's Eat

Nej, det stämmer inte alls. mysql_real_escape_string varken tar bort eller lägger till några tecken när strängen når databasen. Om du får den effekten så har du gjort någon annan formatering av texten eller så kör du med magic quotes vilket är smått antikt idag.

Clarence · 2012-02-26, 16:00

Citat:

Ursprungligen postat av Dimme

Om du använder mysql_real_escape_string($string) kom ihåg att anropa stripslashes($escapedString) när du hämta innehåll från databasen.

Annars kommer det du hämtar se ut så här:

Let\'s Eat istället för Let's Eat

Det stämmer, om du kör funktionen två gånger på samma sträng...