 SQL Injection |
| SQL Injection |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 26 Pomógł: 0 Dołączył: 6.09.2003 Ostrzeżenie: (0%) 
 |
Chcialbym sie dowiedziec jak najlepiej sie zabezpieczyc przed 'atakami' SQL Injection.
mam powiedzmy takie zapytanie do bazy mysql: [sql:1:d1814ccdee] select * from news WHERE nr = '$show' [/sql:1:d1814ccdee] I czy to wystarcza. Bo spotykalem sie z: Kod $show=intval($show);
select * from news WHERE nr = '$show' Dla mnie to jest niepotrzebne bo po 'testach' ktore przeprowadzilem moge powiedziec ze uzycje intval jest niepotrzebne bo w zapytaniu sql sa ' '. Wiec potrzebne czy niepotrzebne, a jak np. $show to ma byc tekst a nie liczba to czy wystarcza '' czy trzeba jeszcze robic addslashes() itp. |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 26 Pomógł: 0 Dołączył: 6.09.2003 Ostrzeżenie: (0%)
|
Jeszcze nie dodalem ze mam ustawione magic_quotes_gpc na On.
Przy probie jakiegokolwiek dodania ' w $show beda bledy... Wiec mysle ze magic_quotes_gpc + '' w zupelnosci wystarcza. |
|
|
|
tamin SQL Injection 1.01.2004, 15:50:52 
menic te ' ' są wymagane przez mysql, a nie do zabezpiec... 1.01.2004, 16:07:58 b3 znalazlem cos na temat..
http://www.sitepoint.co... 1.01.2004, 17:40:30 adwol Re: SQL Injection 1.01.2004, 18:22:59 tamin Cytatte ' ' są wymagane przez mysql, a nie do zabe... 1.01.2004, 18:38:29 menic CytatWiec tak:
ja uwazam ze ' ' wystarcza i nie po... 1.01.2004, 19:05:48 Luke a może ...
<?php
(int)$_GET['show']
(int)$_POS... 1.01.2004, 21:06:18 tamin Ale mi chodzi o to czy te intval czy (int) czy cok... 1.01.2004, 21:10:57 uboottd np. kiedy escapowanie prez magic_qutes rozni sie o... 1.01.2004, 22:40:32 
Manful Funkcja do czysczenia, przed wrzuceniem do MySQL 23.01.2004, 10:42:40  |
|
Aktualny czas: 3.10.2025 - 08:21 |
