[mysql] czy to zapytanie jest prawidłowe?

[mysql] czy to zapytanie jest prawidłowe?

peter13135 Zobacz profil	9.08.2008, 18:12:37 Post #1
Grupa: Zarejestrowani Postów: 1 447 Pomógł: 191 Dołączył: 26.03.2008 Ostrzeżenie: (0%)	[SQL] pobierz, plaintext $sql = mysql_query("UPDATE pportal_users SET user_email='$new_user_email', user_gg='$new_user_gg', user_www='$new_user_www', user_skad='$new_user_skad', user_plec='$new_user_plec', user_dataurodzenia='$new_user_dataurodzenia', user_zainteresowania='$new_user_zainteresowania', WHERE user_login='$login' "); [SQL] pobierz, plaintext

zulus Zobacz profil	9.08.2008, 18:33:20 Post #2
Grupa: Zarejestrowani Postów: 225 Pomógł: 18 Dołączył: 30.06.2003 Skąd: Wrocław Ostrzeżenie: (0%)	Nie: Kod user_zainteresowania='$new_user_zainteresowania', wywal tutaj przecinek Ponadto: 1. Nazwy tabel i pól powinny raczej być w odwrotnych cudzysłowach (`pole`) - potem nie ma problemu typu "dlaczego ta nazwa pola nie wchodzi" 2. Dane przekazujesz prosto z np $_POST czy przepuszczasz przez np. mysql_real_escape_string()? Jeżeli to pierwsze to uważaj na ataki SQLinjection

peter13135 Zobacz profil	9.08.2008, 18:35:16 Post #3
Grupa: Zarejestrowani Postów: 1 447 Pomógł: 191 Dołączył: 26.03.2008 Ostrzeżenie: (0%)	a przed sql injection niewystarczy takie coś(IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) $a=htmlspeialchars($_POST['a']);

zulus Zobacz profil	9.08.2008, 18:43:16 Post #4
Grupa: Zarejestrowani Postów: 225 Pomógł: 18 Dołączył: 30.06.2003 Skąd: Wrocław Ostrzeżenie: (0%)	Na pewno nie chroni przed wysypaniem SQL'a Jeżeli na końcu łańcucha w zmiennej będzie np znak \ to zapytanie się wysypie. Poczytaj sobie htmlspecialchars i mysql_real_escape_string

peter13135 Zobacz profil	9.08.2008, 18:44:57 Post #5
Grupa: Zarejestrowani Postów: 1 447 Pomógł: 191 Dołączył: 26.03.2008 Ostrzeżenie: (0%)	no powiedzmy że htmlspecialchars to rozumiem, a to drugie to pierwsze słyszę... mam rozumieć że żeby zabezpieczyć to musze używac obu tych funkcji?

zulus Zobacz profil	9.08.2008, 18:51:56 Post #6
Grupa: Zarejestrowani Postów: 225 Pomógł: 18 Dołączył: 30.06.2003 Skąd: Wrocław Ostrzeżenie: (0%)	htmlspecialchars za manualem: Cytat This function is useful in preventing user-supplied text from containing HTML markup, such as in a message board or guest book application. Dzięki temu jak wyświetlasz te zmienne w przeglądarce możesz być spokojny o takie ataki jak np XSS. mysql_real_escape_string dotyczy samej bazy. Jak przepuścisz łańcuch przez tą funkcję to masz pewność że zapytanie się nie wysypie i nic się przez nie nie przedrze (przynajmniej w teorii). W manualu masz też info jak używać przy włącznych magic_quotes (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

peter13135 Zobacz profil	9.08.2008, 19:03:57 Post #7
Grupa: Zarejestrowani Postów: 1 447 Pomógł: 191 Dołączył: 26.03.2008 Ostrzeżenie: (0%)	oki, napewno sie tym zainteresuje

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Aktualny czas: 22.09.2025 - 06:30

Hosting zapewnia

Forum PHP.pl