| Autor | Zpráva | ||
|---|---|---|---|
| xxxadam577 Profil |
#1 · Zasláno: 3. 8. 2015, 08:40:16
Ahoj, chci zapsat do databáze název, ve kterém je apostrof, bohužel toto mi nefunguje. Nic mě nenapadá...
$mysqli->query("INSERT INTO list values(0,'".$1."','".2."','".$3."','".$4."','".$5."','".$6."','".$7."','".$8."')"); Chci zapsat třeba Thomas's ... Díky |
||
| xaverista Profil |
#2 · Zasláno: 3. 8. 2015, 09:15:59
Ahoj,
Je to proto, že neescapuješ $jmeno = $mysqli->real_escape_string($_POST['jmeno']); Escapovaní je i ochrana proti SQL injection Xave |
||
| juriad Profil |
#3 · Zasláno: 3. 8. 2015, 09:17:54
Použij php.net/manual/en/mysqli.real-escape-string.php. Když skládáš SQL dotaz musíš vždy escapovat všechny řetězce, které do něj vkládáš. Je třeba zajistit, že číslo, které vkládáš je skutečně číslo, datum je skutečně datum atp.
Není to jen ochrana proti útokům a nepřejícím uživatelům, ale je to i ochrana proti tvé vlastní blbosti. |
||
| xxxadam577 Profil |
#4 · Zasláno: 3. 8. 2015, 09:39:22
Děkuju :)
|
||
|
Časová prodleva: 9 let
|
|||
0