Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [Jportal] Poprawienie skryptu
PhoenixPL
post
Post #1





Grupa: Zarejestrowani
Postów: 12
Pomógł: 0
Dołączył: 11.06.2006

Ostrzeżenie: (0%)
-----

Wiem, że to nie suport jportalu, ale autor nie kwapi się do poprawy poważnego błędu więc liczę na waszą pomoc (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Czy potrafi ktoś to poprawić? http://marc.theaimsgroup.com/?l=bugtraq&m=...48957426316&w=2 Studiując wątki na forum stwierdziłem, że tak będzie dobrze. Mając taki kod:

[PHP] pobierz, plaintext 
  1. <?php
  2. if($cat=='all') {
  3.  
  4. $q_ = "AND title LIKE '%$word%'";
  5.  
  6. } else {
  7.  
  8. $q_ = "AND category LIKE '%-$cat-%' AND title LIKE '%$word%'";
  9.  
  10. }
  11.  
  12.  
  13. $query = "SELECT * FROM $file_b_tbl WHERE stat<>5 $q_";
  14. $result = mysql_query($query);
  15. ?>
[PHP] pobierz, plaintext


Zamiana zapytania
Cytat
$query
na coś takiego 
[PHP] pobierz, plaintext 
  1. <?php
  2. $query = 'SELECT * FROM $file_b_tbl WHERE stat<>5 mysql_real_escape($q_)';
  3. ?>
[PHP] pobierz, plaintext
Pomogła by?
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
siemakuba
post
Post #2





Grupa: Przyjaciele php.pl
Postów: 1 112
Pomógł: 20
Dołączył: 10.04.2005

Ostrzeżenie: (0%)
-----

Cytat
A czy będzie to bezpieczne ;> W manualu jest napisane że nie dotyczy '@' a tam jest ten znaczek
Ale dzie napisali? No i gdzie ta @ jest? Nie rozumiem...

A czy będzie bezpieczne? Zobacz co robi funkcja mysql_real_escape_string" title="Zobacz w manualu php" target="_manual - dodaje slashe do znaków specjalnych, które mogły by namieszać gdyby były użyte w niewłaściwy sposób. Na tyle cię to zabezpiecza. :)

pozdr.
Go to the top of the page
+Quote Post

Posty w temacie
- PhoenixPL   [Jportal] Poprawienie skryptu   13.06.2006, 19:04:25
- - siemakuba   ja zmieniłbym raczej tak: [PHP] pobierz, plaintext...   13.06.2006, 23:36:06
- - PhoenixPL   O jej masz racje nie działa A czy będzie to bezpi...   14.06.2006, 05:26:09
- - siemakuba   CytatA czy będzie to bezpieczne ;> W manualu je...   14.06.2006, 08:55:08
- - PhoenixPL   Rozumiem, wiec wykonanie czegoś takiego nic nie da...   14.06.2006, 12:58:48
- - siemakuba   a czy to jest naprade tak ciezko sprawdzic samemu ...   14.06.2006, 14:39:01
- - PhoenixPL   Właśnie czytałem dlatego się obawiam CytatNotatka...   14.06.2006, 14:43:51
- - siemakuba   wydaje mi się, że tu akurat znak % nie będzie prob...   14.06.2006, 15:28:27
- - dr_bonzo   Czas przeniesc w odpowiednie miejsce -> Gotowe ...   14.06.2006, 15:40:56
- - PhoenixPL   Czyli ten apostrof, może sprawić, że zapytanie się...   14.06.2006, 15:45:58

« Następny starszy · Systemy portalowe i CMS'y · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 5.10.2025 - 12:34
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn