FAQ |
Kalender |
2012-03-22, 15:32 | #21 | |||
|
||||
Flitig postare
|
Absolut. Jag skulle föreslå följande:
PHP-kod:
|
|||
Svara med citat |
2012-03-22, 16:34 | #22 | ||
|
|||
Mycket flitig postare
|
Läste lite på php.net om mysql_real_escape_string, men förstod inte speciellt mycket om det.
Känner någon att hen vill berätta för mig varför man skall använda den funktionen i denna? |
||
Svara med citat |
2012-03-22, 18:00 | #23 | |||
|
||||
Flitig postare
|
Låt oss säga att du har en sökfunktion och du hanterar den såhär:
PHP-kod:
Kod:
'; DROP TABLE search; Kod:
SELECT * FROM search WHERE text=''; DROP TABLE search; ' Om du använder PHP-kod:
Kod:
SELECT * FROM search WHERE text='\'; DROP TABLE search; ' (Ber om ursäkt för min försvenskning av de engelska orden). |
|||
Svara med citat |
2012-03-22, 18:15 | #24 | |||
|
||||
Har WN som tidsfördriv
|
Det captaindoe skrev fungerar dock inte i praktiken (iom att du inte kan köra dubbla queries i en mysql_query())
MEN!!!! Det är vääldigt viktigt att ALDRIG lita på NÅGOT användaren skriver, escape:a och rensa alltid, allt! Enklaste sättet är att göra såhär: $minvariabel = mysql_real_escape_string($_GET['var']); På... allt |
|||
Svara med citat |
2012-03-22, 19:56 | #25 | ||
|
|||
Mycket flitig postare
|
Jag förstår!
Det är med andra ord, väldigt dumt att inte använda mysql_real_escape! :P |
||
Svara med citat |
2012-03-23, 01:00 | #26 | ||
|
|||
Medlem
|
Ger man en normal klient rättigheter att köra "DROP TABLE" så är man nog fel ute på annat håll..
Använder man 'prepared statements' så är det säkert mot denna typen av injektioner i.a.f. Senast redigerad av Jake.Nu den 2012-03-23 klockan 01:02 |
||
Svara med citat |
2012-03-23, 10:21 | #27 | ||
|
|||
Mycket flitig postare
|
Jake, du förstår det att jag har hållit på med php i drygt 5 dagar nu, 3 dagar när jag först la ut tråden.
Så jag hoppas du förstår att mina kunskaper om hur allt fungerar, och vad som kan hända pga vissa saker, inte riktigt har trängt in i min hjärta ännu :P Men de kommer! |
||
Svara med citat |
2012-03-23, 10:50 | #28 | ||
|
|||
Supermoderator
|
jonssondesign, du kan vara lugn. De flesta nybörjare gör det där misstaget och även många som sysslat med php betydligt längre än dig. En del anser uppenbarligen att man ska kunna allting redan innan man börjar koda Det är inte mycket att bry sig om, det är bra att du tar till dig saker och ting och försöker lära dig ordentligt.
__________________
Full-stack developer, free for smaller assignments |
||
Svara med citat |
2012-03-23, 12:05 | #29 | |||
|
||||
Mycket flitig postare
|
Om du ska lära dig koda så börja leka med MYSQLI Prepare statements http://www.php.net/manual/en/mysqli.prepare.php
|
|||
Svara med citat |
2012-03-23, 12:19 | #30 | ||
|
|||
Supermoderator
|
Citat:
__________________
Full-stack developer, free for smaller assignments |
||
Svara med citat |
Svara |
|
|