Autor Zpráva
Big_D
Profil
Zdravím,
dostal jsem se k takovému problému, že když mam takovýto cod který pracuje s DB:

mysql_query("SELECT * FROM database WHERE id='".GET_['id']."'   ");
// PHP pak vypíše Informaci se shodujícím ID


A když nějaký útočník do URL zadá toto:
soubor.php?id=www.seznam.cz


Tak se na stránce zobrazí seznam a hodí to chybu. Potřebuju to nějak zafixovat a nevim jak ( Vím jedine kdyby to bylo s include). Možná by pomohlo kdybych tam dal podmínku že proměná id musí být číselná co myslíte? (Rád bych si to otestoval sám ale nemam tolik času abych ho věčně strávil u PC) děkuji za rady.
Jan Tvrdík
Profil
$id = (int) $_GET['id'];
mysql_query("SELECT * FROM database WHERE id = $id");
Big_D
Profil
Jan Tvrdík:
$id = (int) $_GET['id'];
mysql_query("SELECT * FROM database WHERE id = $id");
Takže je to funkční?
Jan Tvrdík
Profil
ano

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: