Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [PHP][MySQL] Czy ten skrypt jest zabezpieczony przed SQL Injection?
Forum PHP.pl > Forum > Przedszkole
Xawier
25.06.2007, 12:43:39
Witam,
Mam nastepujace pytanie czy taki oto skrypt jest zabezpieczony przed SQL Injection?
[PHP] pobierz, plaintext 
  1. <?php
  2. $czas = time();
  3. $pacc = 21;
  4. $pacc2 = $czas + ($pacc * 24 * 60 * 60);
  5. $sql = addslashes("UPDATE accounts SET premDays = $pacc, premEnd = $pacc2 WHERE accno = ".$_POST['ACC']."");
  6. mysql_query($sql);
  7. ?>
[PHP] pobierz, plaintext

Dane do zmienej ACC oczywiscie przesylane sa z formularza.
nospor
25.06.2007, 12:46:19
nie slashuje sie calego zapytania, a tylko dane z forma. Jesli zapytanie bedzie mialo apostrofy to sie wykrzaczy bo bedzie blad skladni.

Co do zapobiegania sql injection to masz to:
http://forum.php.pl/index.php?showtopic=23258&st=0
troche bajzel niezly, ale da sie wyciągnac to i owo
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.