[php][mysql] addslashes; nazwy inputow

[php][mysql] addslashes; nazwy inputow

no_face Zobacz profil	26.02.2007, 12:34:07 Post #1
Grupa: Zarejestrowani Postów: 346 Pomógł: 23 Dołączył: 28.11.2004 Ostrzeżenie: (0%)	Witajcie, chcialbym rozwiazac jeden problem. Dotyczy on dodawania znakow unikowych dla danych w celu ich pozniejszego dodania do bazy. Odbywa sie to w sposob taki, ze w czasie jak wykonam addslashes przy wylaczonym automatycznym dodawaniu i wykonam funkcje echo dla tej zmiennej to widac dodane znaki ucieczki dla niebezpiecznych wpisow. Jednak po dodaniu owej zmiennej do bazy w bazie juz takich znakow nie widac. I tutaj pojawia sie moje pytanie, czy cos robie zle, czy sql robi cos niejawnie. Czy jest to zachowanie, ktorego moglbym sie obawiac. Jezeli w bazie tak to wyglada to czy po wyciagnieciu danych musze opuszczac slashe? Drugie zapytanie dotyczy nazwy inputow, czy latwo zmienic ich nazwe i wyslac do skryptu. Jesli tak to czy opcja sprawdzania strony z ktorej wystapilo odwolanie bedzie dobrym rozwiazaniem.

Odpowiedzi

Kicok Zobacz profil	27.02.2007, 13:59:45 Post #2
Grupa: Zarejestrowani Postów: 1 033 Pomógł: 125 Dołączył: 17.09.2005 Skąd: Żywiec Ostrzeżenie: (0%)	Weźmy na przykład takie zapytanie: [PHP] pobierz, plaintext <?php mysql_query("SELECT is_admin FROM tabela WHERE user = '$_POST['user']'"); ?> [PHP] pobierz, plaintext Jeśli w formularzu zostanie wpisane "no_face" to zapytanie będzie poprawne: [PHP] pobierz, plaintext <?php SELECT is_admin FROM tabela WHERE user = 'no_face' ?> [PHP] pobierz, plaintext Jeśli w formularzu zostanie wpisane "O'Brian" to zapytanie się posypie: [PHP] pobierz, plaintext <?php SELECT is_admin FROM tabela WHERE user = 'O'Brian' ?> [PHP] pobierz, plaintext Wywali błąd wrong syntax near Brian Jeśli w formularzu zostanie wpisane "cos' OR is_admin = 1 -- " to zapytanie będzie wyglądało tak: [PHP] pobierz, plaintext <?php SELECT is_admin FROM tabela WHERE user = 'cos' OR is_admin = 1 -- ' ?> [PHP] pobierz, plaintext Zapytanie zostanie wykonane, niestety ;] Natomiast jeśli weźmiemy taki kod: [PHP] pobierz, plaintext <?php $_POST['user'] = addslashes($_POST['user']); mysql_query("SELECT is_admin FROM tabela WHERE user = '$_POST['user']'"); ?> [PHP] pobierz, plaintext To nawet gdy w formularzu zostaną wpisane apostrofy, to zapytanie się nie posypie. Będzie wyglądało tak: [PHP] pobierz, plaintext <?php SELECT is_admin FROM tabela WHERE user = 'no_face' ?> [PHP] pobierz, plaintext tak: [PHP] pobierz, plaintext <?php SELECT is_admin FROM tabela WHERE user = 'O'Brian' ?> [PHP] pobierz, plaintext lub tak: [PHP] pobierz, plaintext <?php SELECT is_admin FROM tabela WHERE user = 'cos' OR is_admin = 1 -- ' ?> [PHP] pobierz, plaintext Ukośnik przed apostrofem to TYLKO INFORMACJA dla MySQLa, że nie należy tego apostrofu traktować jako część zapytania SQL (zakończenie danych tekstowych) tylko jako zwykły tekst (i jako zwykły tekst zapisać do bazy danych) Ten post edytował Kicok 27.02.2007, 14:03:32

Posty w temacie

no_face [php][mysql] addslashes; nazwy inputow 26.02.2007, 12:34:07

Kicok CytatJednak po dodaniu owej zmiennej do bazy w baz... 26.02.2007, 17:01:41

no_face Nie przesadzajmy. Temat wskazany przez Ciebie juz ... 27.02.2007, 13:13:05

Kicok Weźmy na przykład takie zapytanie: [PHP] pobierz, ... 27.02.2007, 13:59:45

no_face Dzieki, wlasnie takiej odpowiedzi szukalem. A drg... 5.03.2007, 14:28:08

« Następny starszy · Przedszkole · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 14.10.2025 - 03:43

Hosting zapewnia

Forum PHP.pl