Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> update danych i SQL Injection
Sabudda
post
Post #1





Grupa: Zarejestrowani
Postów: 19
Pomógł: 0
Dołączył: 8.02.2004
Skąd: Białystok

Ostrzeżenie: (0%)
-----


Witam,
Natrafiłem na mały problem. Otóż mam pole gdzie można upatować dane w bazie danych. By zapobiec duplikowaniu znaczników "\" dodałem addslashes dopiero przy wyświetlaniu danych, nie przy updatowaniu. No i pojawia się problem. Jeśli przy dodawaniu nie ma żadnego zabezpieczenia w postaci addslashes to ktoś może włamać się do bazy. Z kolei jeśli dam przy dodawaniu addslashes i użytkownik wpisze jakiś 'niedozwolny' znak to backslashe będą się duplikować...

Jak to rozwiązać ?
Go to the top of the page
+Quote Post
 
Start new topic
Odpowiedzi (1 - 1)
Kicok
post
Post #2





Grupa: Zarejestrowani
Postów: 1 033
Pomógł: 125
Dołączył: 17.09.2005
Skąd: Żywiec

Ostrzeżenie: (0%)
-----


Na początku sprawdzamy czy magic_quotes_gpc jest włączone: get_magic_quotes_gpc" title="Zobacz w manualu PHP" target="_manual. Jeśli tak, to sprawę zabezpieczania danych wejściowych masz już z głowy. Jeśli nie, to używasz addslashes() tuż przed wykonaniem zapytania do bazy danych.
Jeśli te same dane które wstawiłeś do zapytania chcesz wyświetlić gdzieś na stronie, to tuż przed wyświetleniem potraktuj je jeszcze funkcją stripslashes()

Danych pobranych z bazy nie musisz przepuszczać przez stripslashes() przed wyświetleniem.


--------------------
"Sumienie mam czyste, bo nieużywane."
Go to the top of the page
+Quote Post

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 



RSS Aktualny czas: 21.08.2025 - 05:34