Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [Jportal] Poprawienie skryptu
PhoenixPL
post
Post #1





Grupa: Zarejestrowani
Postów: 12
Pomógł: 0
Dołączył: 11.06.2006

Ostrzeżenie: (0%)
-----

Wiem, że to nie suport jportalu, ale autor nie kwapi się do poprawy poważnego błędu więc liczę na waszą pomoc (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Czy potrafi ktoś to poprawić? http://marc.theaimsgroup.com/?l=bugtraq&m=...48957426316&w=2 Studiując wątki na forum stwierdziłem, że tak będzie dobrze. Mając taki kod:

[PHP] pobierz, plaintext 
  1. <?php
  2. if($cat=='all') {
  3.  
  4. $q_ = "AND title LIKE '%$word%'";
  5.  
  6. } else {
  7.  
  8. $q_ = "AND category LIKE '%-$cat-%' AND title LIKE '%$word%'";
  9.  
  10. }
  11.  
  12.  
  13. $query = "SELECT * FROM $file_b_tbl WHERE stat<>5 $q_";
  14. $result = mysql_query($query);
  15. ?>
[PHP] pobierz, plaintext


Zamiana zapytania
Cytat
$query
na coś takiego 
[PHP] pobierz, plaintext 
  1. <?php
  2. $query = 'SELECT * FROM $file_b_tbl WHERE stat<>5 mysql_real_escape($q_)';
  3. ?>
[PHP] pobierz, plaintext
Pomogła by?
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
siemakuba
post
Post #2





Grupa: Przyjaciele php.pl
Postów: 1 112
Pomógł: 20
Dołączył: 10.04.2005

Ostrzeżenie: (0%)
-----

a czy to jest naprade tak ciezko sprawdzic samemu tudziez poszukac? Wiele napisano na ten temat.
Mówiąc krótko, nie da. Znaki specjalne będą poprzedzone slashem, nie zostaną więc zinterpretowane jako specjalne tylko jako normalny ciąg znaków, w tym przypadku wynik wyszukiwania nic nie zwróci, chyba że w bazie będziesz miał akurat coś jak ten string który próbujesz podstawić do szukania.

pozdr.
Go to the top of the page
+Quote Post

Posty w temacie
- PhoenixPL   [Jportal] Poprawienie skryptu   13.06.2006, 19:04:25
- - siemakuba   ja zmieniłbym raczej tak: [PHP] pobierz, plaintext...   13.06.2006, 23:36:06
- - PhoenixPL   O jej masz racje nie działa A czy będzie to bezpi...   14.06.2006, 05:26:09
- - siemakuba   CytatA czy będzie to bezpieczne ;> W manualu je...   14.06.2006, 08:55:08
- - PhoenixPL   Rozumiem, wiec wykonanie czegoś takiego nic nie da...   14.06.2006, 12:58:48
- - siemakuba   a czy to jest naprade tak ciezko sprawdzic samemu ...   14.06.2006, 14:39:01
- - PhoenixPL   Właśnie czytałem dlatego się obawiam CytatNotatka...   14.06.2006, 14:43:51
- - siemakuba   wydaje mi się, że tu akurat znak % nie będzie prob...   14.06.2006, 15:28:27
- - dr_bonzo   Czas przeniesc w odpowiednie miejsce -> Gotowe ...   14.06.2006, 15:40:56
- - PhoenixPL   Czyli ten apostrof, może sprawić, że zapytanie się...   14.06.2006, 15:45:58

« Następny starszy · Systemy portalowe i CMS'y · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 14.10.2025 - 12:46
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn