 Dane z formularza a polecenie LIKE |
| Dane z formularza a polecenie LIKE |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 56 Pomógł: 0 Dołączył: 15.02.2009 Ostrzeżenie: (0%) 
 |
Pobieram dane z formularza i wykorzystuję je do wykonania zapytania do MySQL z poleceniem LIKE '%$dane_z_formularza%'.
Wyczytałem że mysql_real_escape_string nie zabezpiecza przed atakiem SQL Injection z użyciem znaków %. Intruz może dopisać '%' w formularzu i wykonać wpisane przez siebie polecenie. Nie mogę usunąć '%' z zapytania bo takie znaki też mogą się znaleść w bazie. Jak zabezpieczyć się przed tym? |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 677 Pomógł: 89 Dołączył: 31.08.2003 Skąd: Warszawa Ostrzeżenie: (0%)
|
przed przekazaniem do zapytania SQL... |
|
|
|
Haczyk67 Dane z formularza a polecenie LIKE 28.03.2009, 16:11:05 
Maciekbjw Znany problem
Rozwiązań masz kilka
Kiedyś użył... 28.03.2009, 16:21:06 Haczyk67 Hm nie do końca o takie rozwiązanie mi chodzi. Prz... 29.03.2009, 10:32:48 fifi209 Ja nie widzę problemu przy zapisie %
możesz go za... 29.03.2009, 10:52:12 Haczyk67 Widzę że Google ignoruje %
http://www.google.pl/s... 29.03.2009, 11:06:03 
Haczyk67 Rozumiem że %% działa na tej samej zasadzie co // ... 29.03.2009, 13:44:55  |
|
Aktualny czas: 10.10.2025 - 05:25 |
