 Dane z formularza a polecenie LIKE |
| Dane z formularza a polecenie LIKE |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 56 Pomógł: 0 Dołączył: 15.02.2009 Ostrzeżenie: (0%) 
 |
Pobieram dane z formularza i wykorzystuję je do wykonania zapytania do MySQL z poleceniem LIKE '%$dane_z_formularza%'.
Wyczytałem że mysql_real_escape_string nie zabezpiecza przed atakiem SQL Injection z użyciem znaków %. Intruz może dopisać '%' w formularzu i wykonać wpisane przez siebie polecenie. Nie mogę usunąć '%' z zapytania bo takie znaki też mogą się znaleść w bazie. Jak zabezpieczyć się przed tym? |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 217 Pomógł: 23 Dołączył: 2.12.2007 Skąd: Warszawa Ostrzeżenie: (0%)
|
Znany problem (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)
Rozwiązań masz kilka Kiedyś użyłem chyba czegoś takiego:
Niemniej można to też inaczej rozwiązać. |
|
|
|
Haczyk67 Dane z formularza a polecenie LIKE 28.03.2009, 16:11:05 
Haczyk67 Hm nie do końca o takie rozwiązanie mi chodzi. Prz... 29.03.2009, 10:32:48 fifi209 Ja nie widzę problemu przy zapisie %
możesz go za... 29.03.2009, 10:52:12 Haczyk67 Widzę że Google ignoruje %
http://www.google.pl/s... 29.03.2009, 11:06:03 mls [PHP] pobierz, plaintext <?php$dane_z_formularz... 29.03.2009, 13:24:23 
Haczyk67 Rozumiem że %% działa na tej samej zasadzie co // ... 29.03.2009, 13:44:55  |
|
Aktualny czas: 9.10.2025 - 20:44 |
