Autor | Zpráva | ||
---|---|---|---|
inj Profil * |
#1 · Zasláno: 2. 8. 2010, 23:05:25
Prostudoval jsem manuály a prý stačí protlačit parametr v sql dotazu fcí mysqli_real_escape_string a mělo by to být bezpečné. Zjistil jsem ale, že tato funkce nenahrazuje znak `. Jak tedy na spolehlivou ochranu dotazu sql a na co si dát ještě pozor.
|
||
Joker Profil |
#2 · Zasláno: 2. 8. 2010, 23:08:42
inj:
„Zjistil jsem ale, že tato funkce nenahrazuje znak `“ A čemu to vadí? |
||
Kajman_ Profil * |
#3 · Zasláno: 2. 8. 2010, 23:08:48
Ta funkce escapuje string. Ten je potřeba obalit ', pak je to bezpečné použití stringu. Pokud chcete vkládat do sql něco jiného - názvy sloupců atd., není tato funkce na to určená.
|
||
Časová prodleva: 4 měsíce
|
|||
wutter Profil * |
#4 · Zasláno: 13. 12. 2010, 20:57:30
Můžeš zkusit htmlspecialchars(); a znaky ' a " odstranit pomocí strtr($text, array('\'' => '', '\"' => '')); a text zapistovat do databáze v htmlspecialcharts
|
||
Alphard Profil |
#5 · Zasláno: 13. 12. 2010, 21:50:23
wutter:
„Můžeš zkusit htmlspecialchars();“ Což je ale na něco jiného. Escapování - definitivní příručka |
||
Časová prodleva: 13 let
|
0