[captaindoe]

Absolut. Jag skulle föreslå följande:

PHP-kod:

$races = array('kvinna', 'man', 'barn');
if (isset($race_sort) && in_array($race_sort, $races)) { 
    $query .= "AND race = '" . mysql_real_escape_string($race_sort) . "' ";
} 


Eftersom man inte vill att queryn ska byggas upp av vilka textstränger som helst.

[jonssondesign]

Läste lite på php.net om mysql_real_escape_string, men förstod inte speciellt mycket om det.

Känner någon att hen vill berätta för mig varför man skall använda den funktionen i denna?

[captaindoe]

Låt oss säga att du har en sökfunktion och du hanterar den såhär:

PHP-kod:

mysql_query("SELECT * FROM search WHERE text='" . $_GET['search'] . "'") or die(mysql_error()); 


Om en person skriver in:

Kod:

'; DROP TABLE search;

när de använder din sökfunktion kommer alltså din MySQL query att bli följande:

Kod:

SELECT * FROM search WHERE text=''; DROP TABLE search; '

Vilket är två stycken MySQL queries, den första queryen som hämtar all info från tabellen search, och den andra queryn raderar hela din tabell.

Om du använder

PHP-kod:

mysql_real_escape_string() 


så kommer frågan att se hur såhära:

Kod:

SELECT * FROM search WHERE text='\'; DROP TABLE search; '

Vilket betyder att MySQL endast kommer att se det som en fråga eftersom ' är "utkommenterat".

(Ber om ursäkt för min försvenskning av de engelska orden).

[Jine]

Det captaindoe skrev fungerar dock inte i praktiken (iom att du inte kan köra dubbla queries i en mysql_query())

MEN!!!! Det är vääldigt viktigt att ALDRIG lita på NÅGOT användaren skriver, escape:a och rensa alltid, allt!

Enklaste sättet är att göra såhär:

$minvariabel = mysql_real_escape_string($_GET['var']);

På... allt

[jonssondesign]

Jag förstår!

Det är med andra ord, väldigt dumt att inte använda mysql_real_escape! :P

[Jake.Nu]

Ger man en normal klient rättigheter att köra "DROP TABLE" så är man nog fel ute på annat håll..
Använder man 'prepared statements' så är det säkert mot denna typen av injektioner i.a.f.

[jonssondesign]

Jake, du förstår det att jag har hållit på med php i drygt 5 dagar nu, 3 dagar när jag först la ut tråden.

Så jag hoppas du förstår att mina kunskaper om hur allt fungerar, och vad som kan hända pga vissa saker, inte riktigt har trängt in i min hjärta ännu :P Men de kommer!

[tartareandesire]

jonssondesign, du kan vara lugn. De flesta nybörjare gör det där misstaget och även många som sysslat med php betydligt längre än dig. En del anser uppenbarligen att man ska kunna allting redan innan man börjar koda Det är inte mycket att bry sig om, det är bra att du tar till dig saker och ting och försöker lära dig ordentligt.

[Jawn]

Om du ska lära dig koda så börja leka med MYSQLI Prepare statements http://www.php.net/manual/en/mysqli.prepare.php

[tartareandesire]

Citat:

Ursprungligen postat av Jawn

Om du ska lära dig koda så börja leka med MYSQLI Prepare statements http://www.php.net/manual/en/mysqli.prepare.php

Man får nog en bättre förståelse för språket och programmering överlag om man lär sig vanliga "gamla" mysql-kommandon först tror jag. Beror väl lite på vilket syfte man har. Prepared statements är helt klart enklare om man vill undvika problem.