sql injection - Forum PHP.pl

sql injection

slaw.omir Zobacz profil	29.05.2008, 20:11:35 Post #1
Grupa: Zarejestrowani Postów: 38 Pomógł: 1 Dołączył: 10.08.2006 Ostrzeżenie: (0%)	Mam pytanie czy poniższy kod w dużym stopniu zabezpieczy skrypt przed atakiem sql injection [PHP] pobierz, plaintext <?php include('connect.php'); $kat=$_GET['kat']; $torba=$_GET['torba']; $torba = mysql_real_escape_string($_GET['torba]); if (! ereg ("[a-z-]$", $_GET['kat'])){ $ostrzezenie2='2'; }else{ if($kat=='kategoria_a'){ $zapytanie = mysql_query ("SELECT * FROM firmy_towar where kategoria = 'kategoria_a''") or die ("Zapytanie niepoprawne"); while ($row = mysql_fetch_array($zapytanie)){ $id_f[]=$row["id_f"]; $firma[]=$row["firma"]; $stoisko[]=$row["stoisko"]; } } else if (! ereg ("[a-z-]$", $_GET['$torba])) { $ostrzezenie2='2'; }else{ $zapytanie = mysql_query ("SELECT * FROM firmy_lokalne where kategoria = '$torba'") or die ("Zapytanie niepoprawne"); while ($row = mysql_fetch_array($zapytanie)){ $id_f[]=$row["id_f"]; $firma[]=$row["firma"]; $stoisko[]=$row["stoisko"]; } } mysql_close($connect); ?> [PHP] pobierz, plaintext W jaki sposób moge zabezpieczyć taki skrypt przed atakiem sql injection?

Odpowiedzi

pyro Zobacz profil	29.05.2008, 20:19:42 Post #2
Grupa: Zarejestrowani Postów: 2 148 Pomógł: 230 Dołączył: 26.03.2008 Ostrzeżenie: (0%)	Nie, zwłaszcza, że skrypt wywali błąd (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) [PHP] pobierz, plaintext <?php $torba = mysql_real_escape_string($_GET[torba]); ?> [PHP] pobierz, plaintext powinno byc: [PHP] pobierz, plaintext <?php $torba = mysql_real_escape_string($_GET['torba']); ?> [PHP] pobierz, plaintext //EDIT nie wiedziec czemu w gornym przykladzie forum mi usuwa ' Ten post edytował pyro 29.05.2008, 20:20:43