| Autor | Zpráva | ||
|---|---|---|---|
| Big_D Profil |
#1 · Zasláno: 3. 4. 2011, 15:22:33
Zdravím,
dostal jsem se k takovému problému, že když mam takovýto cod který pracuje s DB:
mysql_query("SELECT * FROM database WHERE id='".GET_['id']."' ");
// PHP pak vypíše Informaci se shodujícím ID
A když nějaký útočník do URL zadá toto: soubor.php?id=www.seznam.cz Tak se na stránce zobrazí seznam a hodí to chybu. Potřebuju to nějak zafixovat a nevim jak ( Vím jedine kdyby to bylo s include). Možná by pomohlo kdybych tam dal podmínku že proměná id musí být číselná co myslíte? (Rád bych si to otestoval sám ale nemam tolik času abych ho věčně strávil u PC) děkuji za rady. |
||
| Jan Tvrdík Profil |
#2 · Zasláno: 3. 4. 2011, 15:30:23
$id = (int) $_GET['id'];
mysql_query("SELECT * FROM database WHERE id = $id"); |
||
| Big_D Profil |
#3 · Zasláno: 3. 4. 2011, 15:38:46
Jan Tvrdík:
> $id = (int) $_GET['id']; > mysql_query("SELECT * FROM database WHERE id = $id"); Takže je to funkční? |
||
| Jan Tvrdík Profil |
#4 · Zasláno: 3. 4. 2011, 15:44:09
ano
|
||
|
Časová prodleva: 15 let
|
|||
0