 Dane z formularza a polecenie LIKE |
| Dane z formularza a polecenie LIKE |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 56 Pomógł: 0 Dołączył: 15.02.2009 Ostrzeżenie: (0%) 
 |
Pobieram dane z formularza i wykorzystuję je do wykonania zapytania do MySQL z poleceniem LIKE '%$dane_z_formularza%'.
Wyczytałem że mysql_real_escape_string nie zabezpiecza przed atakiem SQL Injection z użyciem znaków %. Intruz może dopisać '%' w formularzu i wykonać wpisane przez siebie polecenie. Nie mogę usunąć '%' z zapytania bo takie znaki też mogą się znaleść w bazie. Jak zabezpieczyć się przed tym? |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 56 Pomógł: 0 Dołączył: 15.02.2009 Ostrzeżenie: (0%)
|
Widzę że Google ignoruje %
http://www.google.pl/search?hl=pl&q=50...=Szukaj&lr= chyba też tak zrobię ;P |
|
|
|
Haczyk67 Dane z formularza a polecenie LIKE 28.03.2009, 16:11:05 
Maciekbjw Znany problem
Rozwiązań masz kilka
Kiedyś użył... 28.03.2009, 16:21:06 Haczyk67 Hm nie do końca o takie rozwiązanie mi chodzi. Prz... 29.03.2009, 10:32:48 fifi209 Ja nie widzę problemu przy zapisie %
możesz go za... 29.03.2009, 10:52:12 mls [PHP] pobierz, plaintext <?php$dane_z_formularz... 29.03.2009, 13:24:23 
Haczyk67 Rozumiem że %% działa na tej samej zasadzie co // ... 29.03.2009, 13:44:55  |
|
Aktualny czas: 3.10.2025 - 18:28 |
