sql injection - Forum PHP.pl

sql injection

slaw.omir Zobacz profil	29.05.2008, 20:11:35 Post #1
Grupa: Zarejestrowani Postów: 38 Pomógł: 1 Dołączył: 10.08.2006 Ostrzeżenie: (0%)	Mam pytanie czy poniższy kod w dużym stopniu zabezpieczy skrypt przed atakiem sql injection [PHP] pobierz, plaintext <?php include('connect.php'); $kat=$_GET['kat']; $torba=$_GET['torba']; $torba = mysql_real_escape_string($_GET['torba]); if (! ereg ("[a-z-]$", $_GET['kat'])){ $ostrzezenie2='2'; }else{ if($kat=='kategoria_a'){ $zapytanie = mysql_query ("SELECT * FROM firmy_towar where kategoria = 'kategoria_a''") or die ("Zapytanie niepoprawne"); while ($row = mysql_fetch_array($zapytanie)){ $id_f[]=$row["id_f"]; $firma[]=$row["firma"]; $stoisko[]=$row["stoisko"]; } } else if (! ereg ("[a-z-]$", $_GET['$torba])) { $ostrzezenie2='2'; }else{ $zapytanie = mysql_query ("SELECT * FROM firmy_lokalne where kategoria = '$torba'") or die ("Zapytanie niepoprawne"); while ($row = mysql_fetch_array($zapytanie)){ $id_f[]=$row["id_f"]; $firma[]=$row["firma"]; $stoisko[]=$row["stoisko"]; } } mysql_close($connect); ?> [PHP] pobierz, plaintext W jaki sposób moge zabezpieczyć taki skrypt przed atakiem sql injection?

Odpowiedzi (1 - 5)

.radex Zobacz profil	29.05.2008, 20:16:36 Post #2
Grupa: Zarejestrowani Postów: 1 657 Pomógł: 125 Dołączył: 29.04.2006 Ostrzeżenie: (0%)	Temat: SQL Injection Insertion

pyro Zobacz profil	29.05.2008, 20:19:42 Post #3
Grupa: Zarejestrowani Postów: 2 148 Pomógł: 230 Dołączył: 26.03.2008 Ostrzeżenie: (0%)	Nie, zwłaszcza, że skrypt wywali błąd (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) [PHP] pobierz, plaintext <?php $torba = mysql_real_escape_string($_GET[torba]); ?> [PHP] pobierz, plaintext powinno byc: [PHP] pobierz, plaintext <?php $torba = mysql_real_escape_string($_GET['torba']); ?> [PHP] pobierz, plaintext //EDIT nie wiedziec czemu w gornym przykladzie forum mi usuwa ' Ten post edytował pyro 29.05.2008, 20:20:43

.radex Zobacz profil	29.05.2008, 20:27:39 Post #4
Grupa: Zarejestrowani Postów: 1 657 Pomógł: 125 Dołączył: 29.04.2006 Ostrzeżenie: (0%)	eee... jaka jest różnica pomiędzy dwoma przykładami (oprócz apostrofu, którego brak nie wywala błędów) ?

pyro Zobacz profil	29.05.2008, 20:30:48 Post #5
Grupa: Zarejestrowani Postów: 2 148 Pomógł: 230 Dołączył: 26.03.2008 Ostrzeżenie: (0%)	w górnym przykładzie jest $_GET['torba];, w moim poście mi usuwa apostrof przed "torba", PHP powinien wywalić błąd UNEXPECTED

Cienki1980 Zobacz profil	29.05.2008, 20:31:52 Post #6
Grupa: Przyjaciele php.pl Postów: 1 590 Pomógł: 40 Dołączył: 11.01.2007 Skąd: Centrum Ostrzeżenie: (0%)	Jak na samym początku wspomniano, jest już duży wątek traktujący o problemie i tam zapraszam autora. Ten temat zamykam.

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Linearny+ · Przełącz na: Drzewo

Aktualny czas: 23.08.2025 - 20:13

Hosting zapewnia