[Iceyes]

Citat:

Originally posted by bivald@Mar 22 2006, 20:31
Om jag inte missat något vissentligt? Var validerar du din input (GET/POST)? strip_tags tar väl inte bort single/double quotes och således är det rätt lätt att köra en SQL injection?

vad skulle jag lämpligast köra istället?

[thorsell]

Functionen mysql_escape_string (för PHP) kollar just ditt input-värde (http://www.php.net/mysql_escape_string) och är något du borde använda..

[bivald]

Citat:

function validate($value)
{

// From php.net - mysql_real_escape_string...

if (get_magic_quotes_gpc()) {
$value = stripslashes($value);
}
// Quote if not integer
if (!is_numeric($value)) {
$value = mysql_real_escape_string($value);
}
return $value;
}