Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [SQL][PHP]Zabezpieczenia przed SQL INJECTION
Forum PHP.pl > Forum > Przedszkole
wiktor0000
19.05.2018, 16:05:27
Witam mam pewien problem ,
Myślałem że mam wystarczająco dobre zabezpieczenia przed sql injection ,ale jak odpaliłem sqlmap to się pomyliłem :C
Stosowałem mysqli_real_escape_string, htmlspecialchars, addslashes, slip_tags,
ale nie działa
Mój kod PHP
[PHP] pobierz, plaintext 
  1. <?php
  2.  
  3. $id = strip_tags(trim($_GET['id']));
  4.  
  5. $pol = mysqli_connect("localhost","root","","bazadanych");
  6. $id = mysqli_real_escape_string($pol,$id);
  7. $id = htmlspecialchars($_GET['id']);
  8. $id = addslashes($_GET['id']);
  9. $zap = "select * from uzytkownicy where id = '".$id."'";
  10.  
  11.  
  12. $qu = mysqli_query($pol,$zap);
  13. $row = mysqli_fetch_array($qu);
  14. echo $row['nick'];
  15. echo $row['email'];
  16. mysqli_close($pol);
  17.  
[PHP] pobierz, plaintext

Pomocy
Neutral
19.05.2018, 16:12:37
Zastosuj "bindowanie". http://php.net/manual/pl/mysqli-stmt.bind-param.php http://php.net/manual/pl/mysqli.prepare.php http://php.net/manual/pl/mysqli-stmt.execute.php
wiktor0000
19.05.2018, 16:22:43
Możesz mi to "przekazać" na mój kod nie wiem jak sie do tego zabrać biggrin.gif
vokiel
19.05.2018, 16:23:10
Jeśli wiesz, że masz typ liczbowy to możesz od razu go rzucać do int 
[PHP] pobierz, plaintext 
  1. $id = intval($_GET['id']);
[PHP] pobierz, plaintext


Albo w ogóle przejdź na PDO.

wiktor0000
19.05.2018, 16:29:13
Dzięki pomogło
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2024 Invision Power Services, Inc.