Autor Zpráva
Anonym
Profil *
Mam na vas 2 otazky na sql injection (mam v tom zmatky):

1) Pouzivate pro osetreni vstupnich dat od uzivatele (retezec) funkci addslashes nebo spise mysql_real_escape_string?
2) A pro cisla (nejcasteji ID) pouzivate funkci intval?

Diky
Mastodont
Profil
1. mysql_real_escape_string
2. ano
Nox
Profil
http://phpfashion.com/escapovani-definitivni-prirucka
Anonym
Profil *
Diky.

Je lepsi psat
$text = mysqli_real_escape_string($connection,$_POST['text']);

nebo funkci s testovanim get_magic_quotes_gpc()?
function escape($text) {
    if (get_magic_quotes_gpc() == 0) {
        return mysqli_real_escape_string($connection,$text);
    }
    return $text;
}
Anonym
Profil *
Prosim jaka moznost je lepsi?
Joker
Profil
Anonym:
Doporučuju mít univerzální kód, který vyřídí magic_quotes (tip), na začátku každého skriptu (nejlépe v nějakém univerzálním souboru, který se všude vkládá přes include) a v kódu se pak už o to nestarat.
Anonym
Profil *
Joker:
O tom uz jsem take cetl, ale mit jednu funkci, ktera testuje zda je magic_quotes vypnute, je take snad dobre reseni.

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: