Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Sql injection w zmiennej, nie mge sobie poradzic
icetab
post
Post #1





Grupa: Zarejestrowani
Postów: 226
Pomógł: 3
Dołączył: 3.04.2007

Ostrzeżenie: (50%)
XXX--

Witam nie moge sobie poradzic w zabezpieczeniu tego skryptu prosil bym o pomoc winksmiley.jpg

[PHP] pobierz, plaintext 
  1. <?php
  2. $id = strip_tags($_GET['id']);
  3. $id = addslashes($id);
  4. $query = "SELECT * FROM `dane` WHERE id=".$id." ";
  5. $result = mysql_query($query) OR die('blad');
  6. $wynik = mysql_fetch_array($result);
  7. {
  8. echo 'wynik: '.$wynik['news'].'<br>';
  9. }
  10. ?>
[PHP] pobierz, plaintext
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi (1 - 1)
nevt
post
Post #2





Grupa: Przyjaciele php.pl
Postów: 1 595
Pomógł: 282
Dołączył: 24.09.2007
Skąd: Reda, Pomorskie.

Ostrzeżenie: (0%)
-----

zamiast tych strip`ów i add`ów po prostu sprawdź czy $id jest liczbą całkowitą, albo jeszcze lepiej wymuś konwersję do inta, czyli wystarczy:
[PHP] pobierz, plaintext 
  1. <?php
  2. $id = (int)$_GET['id'];
  3. ?>
[PHP] pobierz, plaintext

i nie ma bata na jakieś sql injection...


--------------------

- Oh no, my young coder. You will find that it is you who are mistaken, about a great many things... -
Go to the top of the page
+Quote Post
« Następny starszy · PHP · Następny nowszy »
 

Closed TopicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 20.08.2025 - 04:29
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn