Aleksandrs Posted April 26, 2005 Report Share Posted April 26, 2005 Kā būtu pareizāk aizsargāties no SQL injekcijām, lai saglabātu ' un " simbolus? Ar addslashes(pēc tam tad jālieto stripslashes?), htmlspecialchars ? Kādā kārtībā vajadzētu apstrādāt $_POST/$_GET, lai pasargātu SQL pieprasījumu ? Link to comment Share on other sites More sharing options...
bubu Posted April 26, 2005 Report Share Posted April 26, 2005 Pirms liec stringa datus SQL kverijā tiem uzlaid virsū addslashes() (labāk vēlams mysql_escape_string() vai cita attiecīga SQL servera fju) un viss. Link to comment Share on other sites More sharing options...
Aleksandrs Posted April 27, 2005 Report Share Posted April 27, 2005 Pēc addslashes, vajag pielietot stripslashes , bet pie lieliem teksta un pieprasijuma apjomiem nevar bremzēt? Link to comment Share on other sites More sharing options...
Venom Posted April 27, 2005 Report Share Posted April 27, 2005 kur vajag stripslashes pēc tam? iekš db liekot vajag eskeipot, tad no tās saņemsi normālā veidā, un stripslashes nevajaga precīzāk - ja lieto addslashes, tad tas bliež virsū gan ', gan " u.c. resp. var sanākt INSERT INTO ... SET column='value\'with\"quotes' tad no db saņemsi value'with\"quotes a vajaga lietot mysql{_real}_escape_string, vai str_replace("'","\\'",$inserted_value) Link to comment Share on other sites More sharing options...
smarty Posted May 3, 2005 Report Share Posted May 3, 2005 (edited) vai ar mysql{_real}_escape_string pietiek? :) Edited May 3, 2005 by smarty Link to comment Share on other sites More sharing options...
Recommended Posts