[PHP]Zabezpieczanie prze SQL Injection Opcje

[Raven1122]

Jak zabezpieczyc ten skrypt przed injection? chodzi mi o mysql_real_string_escape i o to zeby nie dalo sie dodac tagow html

[PHP] pobierz, plaintext 
<?php  header("location:../index.php?id=3"); ?>
<?php
 
if($_POST['author'] != 'Wykonawca' and $_POST['title'] != 'Autor' and $_POST['link'] != 'Link do odsłuchu'){
$name = $_POST['author'] . '-' . $_POST['title'];
$id = 0;
$votes = 0; 
$link = $_POST['link'];
 
$connect = mysql_connect('xxx', 'xxx', 'xxx') or die(mysql_error());
mysql_select_db(bassplay_web);
 
$sql = "INSERT INTO pool_top10 (id, name, glosy, link) " .
"VALUES ('$id', '$name', '$votes', '$link')";
$result = mysql_query($sql) or die(mysql_error());
echo ("Utwór dodany poprawnie");
}
else{
echo ("Wypełnij wszystkie pola");
}
?>
[PHP] pobierz, plaintext 

[skowron-line]

http://forum.php.pl/index.php?showtopic=23258 tu znajdziesz odpowiedzi na wszystkie pytania dotyczące sqlinjection.

[Raven1122]

no tak ale jesli chodzi o tagi html?

[!*!]

Przejdź na PDO i bindowanie.

[CuteOne]

A co ma sql injection do tagów HTML?? mówisz o innym rodzaju ataku - google Cross-site scripting(XSS) a do jego anihilacji służy funkcja htmlspecialchars

Ten post edytował CuteOne 10.09.2011, 15:52:41

[Raven1122]

no dobra juz wiem ze uzyje opcji htmlspecialchars i mysql_real_string_escape ale jak te 2 funkcje uzyc na 1 stringu?
chodzi mi dokladnie o te:
$name = $_POST['author'] . '-' . $_POST['title']; i $link = $_POST['link'];

Ten post edytował Raven1122 10.09.2011, 15:56:47

[!*!]

Kod

funkcja1(funkcja2($ojej))

?

Ten post edytował !*! 10.09.2011, 15:56:19

[Raven1122]

czyli ma byc:

htmlspecialchars(mysql_real_string_escape($name, $link));
?

Ten post edytował Raven1122 10.09.2011, 16:00:08

[!*!]

Lepiej odwoływać się bezpośrednio do post.

[Raven1122]

a mozesz pokazac jak to ma wygladac?

[!*!]

Kod

funkcja1(funkcja2($_POST['ojej']))

Brak Ci podstaw php.

[Raven1122]

czyli tak?
$name = htmlspecialchars(mysql_real_escape_string($_POST['author'])) . '-' . htmlspecialchars(mysql_real_escape_string($_POST['title']));

zrobilem tak jak pisze u gory i dodalem do formularzy tagi <table><td><td> i nic nie zadzialalo

[!*!]

1. Przeczytaj jakiś kurs PHP
2. Sprawdź czy w ogóle dane wysyłasz isset
3. Napisz coś bardziej sensownego niż

[PHP] pobierz, plaintext 
if($_POST['author'] != 'Wykonawca' and $_POST['title'] != 'Autor' and $_POST['link'] != 'Link do odsłuchu')
[PHP] pobierz, plaintext 

Bo tym sposobem mogę wysłać cokolwiek, prócz tego co wpisałeś? No ale jak tam chcesz.
4. Używaj tagów na forum.
5. W którym miejscu używasz tych funkcji i po czym?
6. Do całkowego usuwania tagów jest strip_tags

Ten post edytował !*! 10.09.2011, 16:20:47