Autor | Zpráva | ||
---|---|---|---|
dotaz Profil * |
#1 · Zasláno: 7. 7. 2009, 19:31:27
Dobry den,
mám sql dotaz SELECT id, name, description, category FROM movie WHERE actors LIKE '%Frances O'Connor%' LIMIT 10 Problem vidim u vyrazu Frances O'Connor. Pokud neošetřím znak apostrofu, může někdo hledat "Frances O'% --(komentar) a pak klidne DELETE FROM...? magic_quotes_gpc,mysql_real_escape_string nebo htmlspecialchars nebo jinak? |
||
stepanka Profil * |
#2 · Zasláno: 7. 7. 2009, 21:46:15
|
||
Nox Profil |
#3 · Zasláno: 7. 7. 2009, 22:06:48 · Upravil/a: Nox
stepanka
addslashes a stripslashes k ničemu moc nejsou dotaz odstranit to co udělají magic quotes pokud jsou zaplý a aplikovat mysql_real_escape_string => http://phpfashion.com/escapovani-definitivni-prirucka |
||
dotaz Profil * |
#4 · Zasláno: 7. 7. 2009, 22:12:16
diky za odpoved, patral jsem sam na vlastni pest a udelal jsem to dle phpfashion.com
|
||
stepanka Profil * |
#5 · Zasláno: 7. 7. 2009, 22:17:13
omlouvám se za špatné doporučení.. já to používám furt a do teď jsem si myslela, že to dělám správně..
|
||
Nox Profil |
#6 · Zasláno: 7. 7. 2009, 22:59:20
stepanka
V pohodě, také jsem je dřív používal, člověk se neustále učí |
||
Časová prodleva: 1 rok
|
|||
Keeehi Profil |
Tomashekk:
„jak to zabezpečit“ Není to nic složitého, jen stačí být důsledný. Při vkládání do db -> pokud je to má být číslo, tak zajistit, aby to číslo bylo $cislo = intval($_GET["cislo"]); $retezec = mysql_real_escape_string($_GET["retezec"]); Při výpisu stačí na řetězce použít: htmlentities() nebo strip_tags() Prostě celkově uživatelům se nedá věřit. Proto musíš vždy ošetřovat vše, co by mohl někdo změnit/podvrhnout. Pokud nevíš co všechno, je lepší toho ošetřit více než méně. Moderátor Alphard: Přesunuto ze smazaného vlákna. Jen ještě hledám kam.
|
||
Časová prodleva: 14 let
|
0