Aleksandrs Posted April 26, 2005 Report Posted April 26, 2005 Kā būtu pareizāk aizsargāties no SQL injekcijām, lai saglabātu ' un " simbolus? Ar addslashes(pēc tam tad jālieto stripslashes?), htmlspecialchars ? Kādā kārtībā vajadzētu apstrādāt $_POST/$_GET, lai pasargātu SQL pieprasījumu ?
bubu Posted April 26, 2005 Report Posted April 26, 2005 Pirms liec stringa datus SQL kverijā tiem uzlaid virsū addslashes() (labāk vēlams mysql_escape_string() vai cita attiecīga SQL servera fju) un viss.
Aleksandrs Posted April 27, 2005 Report Posted April 27, 2005 Pēc addslashes, vajag pielietot stripslashes , bet pie lieliem teksta un pieprasijuma apjomiem nevar bremzēt?
Venom Posted April 27, 2005 Report Posted April 27, 2005 kur vajag stripslashes pēc tam? iekš db liekot vajag eskeipot, tad no tās saņemsi normālā veidā, un stripslashes nevajaga precīzāk - ja lieto addslashes, tad tas bliež virsū gan ', gan " u.c. resp. var sanākt INSERT INTO ... SET column='value\'with\"quotes' tad no db saņemsi value'with\"quotes a vajaga lietot mysql{_real}_escape_string, vai str_replace("'","\\'",$inserted_value)
smarty Posted May 3, 2005 Report Posted May 3, 2005 (edited) vai ar mysql{_real}_escape_string pietiek? :) Edited May 3, 2005 by smarty
Recommended Posts