[MySQL][PHP]sql injection Opcje

[ABDOO]

Dostałam taką wiadomość od etycznego hakera:
"Sir,
I am an ethical hacker and I have found that your websiteis SQL Injection Vulnerable. So i request you to to patch and make it secure. You can reward me, for my goodness.. HAHA"

więc próbuję jakoś zabezpieczyć stronę, ale nie mam pojęcia jak O_O
Znalazłam informację o funkcji: mysql_real_escape_string()
ale nie mam pojęcia gdzie i jak miałabym jej użyć.
Czy można jakoś w jednym pliku tylko ? Czy na każdej stronie?
Do podejrzenia: http://www.zona-egipcjanina.pl/
Proszę o nie atakowanie dopóki nie zabiezpieczę .... (IMG:style_emoticons/default/wink.gif)

[phpion]

Na forum i w sieci znajdziesz masę przykładów. Nie widzę potrzeby wałkowania tego po raz kolejny. Jeśli będziesz miał konkretne pytania - wówczas napisz. Z tego powodu wątku na razie nie zamykam.

[Mackos]

Wszystkie parametry get i post filtruj samodzielnie przygotowaną funkcją we wszystkich plikach przed jakimkolwiek zapytaniem do bazy.
Poza tym łącz się z bazą danych przez PDO i binduj wprowadzane wartości.
I faktycznie jesteś podatny (IMG:style_emoticons/default/tongue.gif)

[Michael2318]

http://www.zona-egipcjanina.pl/islam.php?id=6%27
jw. albo PDO i binduj wartości albo je jakoś filtruj zanim je wepchniesz do zapytania. Dotyczy tablic POST, GET oraz COOKIE.
http://majkelo.pl/php-mysql-bezpieczenstwo...ection,vp16.htm

[b4rt3kk]

Po ujawnieniu tego:

[PHP] pobierz, plaintext 
$login="_";
$haslo="";
$baza="_";
[PHP] pobierz, plaintext 

raczej średnio. Zapytania dalej masz do niczego:

[PHP] pobierz, plaintext 
"SELECT * FROM artykuly WHERE id=".$_GET['id'].""
[PHP] pobierz, plaintext 

[PHP] pobierz, plaintext 
"SELECT * FROM komentarze WHERE  artykul_id=" . $_GET['id'] . " ORDER BY id DESC"
[PHP] pobierz, plaintext 

Powód edycji: [erix]:

[erix]

Temat: SQL Injection Insertion

Było wiele razy, jest przyklejony wątek, niczego nowego tu nie wniesiemy, gdyż Wielu się już na ten temat naprodukowało.

Temat zamykam.