[SQL][PHP]Zabezpieczenia przed SQL INJECTION Opcje

[wiktor0000]

Witam mam pewien problem ,
Myślałem że mam wystarczająco dobre zabezpieczenia przed sql injection ,ale jak odpaliłem sqlmap to się pomyliłem :C
Stosowałem mysqli_real_escape_string, htmlspecialchars, addslashes, slip_tags,
ale nie działa
Mój kod PHP

[PHP] pobierz, plaintext 
<?php
 
$id = strip_tags(trim($_GET['id']));
 
$pol = mysqli_connect("localhost","root","","bazadanych");
$id = mysqli_real_escape_string($pol,$id);
$id = htmlspecialchars($_GET['id']);
$id = addslashes($_GET['id']);
$zap = "select * from uzytkownicy where id = '".$id."'";
 
 
$qu = mysqli_query($pol,$zap);
$row = mysqli_fetch_array($qu);
echo $row['nick'];
echo $row['email'];
mysqli_close($pol);
 
[PHP] pobierz, plaintext 

Pomocy

Ten post edytował wiktor0000 19.05.2018, 16:06:09

[Neutral]

Zastosuj "bindowanie". http://php.net/manual/pl/mysqli-stmt.bind-param.php http://php.net/manual/pl/mysqli.prepare.php http://php.net/manual/pl/mysqli-stmt.execute.php

Ten post edytował Neutral 19.05.2018, 16:14:10

[wiktor0000]

Możesz mi to "przekazać" na mój kod nie wiem jak sie do tego zabrać

[vokiel]

Jeśli wiesz, że masz typ liczbowy to możesz od razu go rzucać do int

[PHP] pobierz, plaintext 
$id = intval($_GET['id']);
[PHP] pobierz, plaintext 

Albo w ogóle przejdź na PDO.

[wiktor0000]

Dzięki pomogło