 Dane z formularza a polecenie LIKE |
| Dane z formularza a polecenie LIKE |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 56 Pomógł: 0 Dołączył: 15.02.2009 Ostrzeżenie: (0%) 
 |
Pobieram dane z formularza i wykorzystuję je do wykonania zapytania do MySQL z poleceniem LIKE '%$dane_z_formularza%'.
Wyczytałem że mysql_real_escape_string nie zabezpiecza przed atakiem SQL Injection z użyciem znaków %. Intruz może dopisać '%' w formularzu i wykonać wpisane przez siebie polecenie. Nie mogę usunąć '%' z zapytania bo takie znaki też mogą się znaleść w bazie. Jak zabezpieczyć się przed tym? |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 4 655 Pomógł: 556 Dołączył: 17.03.2009 Skąd: Katowice Ostrzeżenie: (0%)
|
Ja nie widzę problemu przy zapisie %
możesz go zapisać jako np. {$37$} i stworzyć prosty parser takich znaków ;d a wyświetlisz go potem: chr(37); |
|
|
|
Haczyk67 Dane z formularza a polecenie LIKE 28.03.2009, 16:11:05 
Maciekbjw Znany problem
Rozwiązań masz kilka
Kiedyś użył... 28.03.2009, 16:21:06 Haczyk67 Hm nie do końca o takie rozwiązanie mi chodzi. Prz... 29.03.2009, 10:32:48 Haczyk67 Widzę że Google ignoruje %
http://www.google.pl/s... 29.03.2009, 11:06:03 mls [PHP] pobierz, plaintext <?php$dane_z_formularz... 29.03.2009, 13:24:23 
Haczyk67 Rozumiem że %% działa na tej samej zasadzie co // ... 29.03.2009, 13:44:55  |
|
Aktualny czas: 5.10.2025 - 01:30 |
