SQL injection – MySQL – Fórum – Programujte.com

TIP: Přetáhni ikonu na hlavní panel pro připnutí webu

Trvalé přihlášení

Zapomněl jsi heslo?

SQL injection – MySQL – Fórum – Programujte.com

Rozšířené hledání ›

Nejnovější témata ve fóru

14:46, Python Používáte SQLAlchemy nebo pandas? pymysql

11:30, Funkcionální progr… Promotic

09:34, Software KAPEKA - zadní dvířka do woken

20:43, Hardware Adaptér pro sériové připojení LCD displejů

23:05, Vzdělání Platy softwarářů

22:47, Právo a podnikání Zákon o majitelích firem

Stavba Laser Arény
Laser Game Brno

SQL injection

Anonymous

~ Anonymní uživatel
~ 21 příspěvků

8. 8. 2009 #1

Ahojte. Uz dlhsiu dobu na internete hladam nejaky dobry a jednoduchy skript, ako sa ochranit pred SQL injection v PHP skriptoch. Pouzivam MySQL a chcel by som co najviac zabranit MySQL injekcii, preto sa pytam tu vas skusenejsich.
Dakujem za kazdu odpoved.

Nahlásit jako SPAM

IP: 78.99.173.–

KIIV

~ Moderátor

+43

God of flame

8. 8. 2009 #2

myslql_real_escape()
nebo
mysql_escape_string()

na jakykoliv vstup z venci co zadava uzivatel

Nahlásit jako SPAM

IP: 77.237.136.–

_{Program vždy dělá to co naprogramujete, ne to co chcete...}

Václav Valíček.

~ Anonymní uživatel
~ 5 příspěvků

8. 8. 2009 #3

nebo pokud používáš php tak taky addslashes a kdzž máš mít číselnou hodnotu tak to přikazem format převect jenom na čísla a když má byt řetězec tak jenom řetězec - kažždopádně zakázat ' a " a podobný svinstvo

Nahlásit jako SPAM

IP: 81.19.45.–

KIIV

~ Moderátor

+43

God of flame

8. 8. 2009 #4

To Václav Valíček. : adslashes neni doporuceno pouzivat.. tim mene se spolehat na magic quotes gpc, protoze se to uz brzo bude uplne rusit

Nahlásit jako SPAM

IP: 77.237.136.–

_{Program vždy dělá to co naprogramujete, ne to co chcete...}

bukaj_0010

Věrný člen

8. 8. 2009 #5

Anonymous
Nebo používej nějakou abstrakční vrstu, která ti vstupy ošetří – PDO[1], dibi[2] atp.

[1] http://php.net/pdo
[2] http://dibiphp.com/

Nahlásit jako SPAM

IP: 88.101.128.–

Jak se správně ptát? -> http://www.hash.cz/inferno/otazky.html[br][br] Po programování je člověk hladovej.

Anonymous

~ Anonymní uživatel
~ 21 příspěvků

9. 8. 2009 #6

Takze som pozeral PHP manual o spominanych funkciach
mysql_escape_string() a mysql_real_escape_string().
Z toho mi vyplyva, ze ak pred kazdym mysql_query() zavolam mysql_real_ecscape_string($string), malo by to uz byt takmer 100% ochranene proti MySQL injection. Dalej som sa docital, ze musim zistovat $_GET aj $_POST.
Takze bude to bezpecne?
PS: Je nebezpezne, ked mysql_real_escape_string() ne-escapuje "%" a "_" ?

Nahlásit jako SPAM

IP: 78.99.173.–

KIIV

~ Moderátor

+43

God of flame

9. 8. 2009 #7

podle toho jestli davas like nebo = v druhem pripade na nejaky % bude kaslat.. pripadne muzes nahradit tyto znaky za neco jineho

Nahlásit jako SPAM

IP: 77.237.136.–

_{Program vždy dělá to co naprogramujete, ne to co chcete...}

bl4z4 0

Duch

13. 8. 2009 #8

Co takhle mysqli?

Nahlásit jako SPAM

IP: 194.108.199.–

Anonymní uživatel

~ Anonymní uživatel
~ 0 příspěvků

13. 8. 2009 #9

To bl4z4 : Mně osobně se hodně osvědčila funkce htmlentities($str, ENT_QUOTES) -> vechno, co se dá převést, tak převede na entity

Nahlásit jako SPAM

IP: 213.194.252.–

polonium0

Návštěvník

21. 12. 2009 #10

Já kontroluji data tak, že je použiji funkci htmlspecialchars a poté funkci test_sql.

function test_sql($teststring){

	$teststring=strtr($teststring," ","x");

	$teststring=strtr($teststring,"+","x");

	$teststring=strtr($teststring,"--","x");

	$teststring=strtr($teststring,"&","x");



	return ($teststring);

}

Nahlásit jako SPAM

IP: 85.161.237.–

← Zpět na seznam vláken ← Zpět do Fóra