CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg

Log ind eller opret profil

Du kan også logge ind via nedenstående tjenester

elefant Juniormester

27. oktober 2017 - 20:55 Der er 8 kommentarer

Indsætte række i en MySQL database med MySQLi

Er dette den korrekte måde at indsætte række i en MySQL database med MySQLi?

$conn = new mysqli($db_host, $db_user, $db_pass, $db_name);

if ($conn->connect_error) {
die("Connection failed: " . $conn->connect_error);
}

if (isset($_POST['text']))
$text = $_POST['text'];
else
$text = "";

$text = $conn->real_escape_string($text);

$sql = "INSERT INTO mytable (information) VALUES ('".$text."')";

if ($conn->query($sql) === TRUE) {
echo "Database updated successfully" . "<br><br>";
} else {
echo "Error: " . $conn->error . "<br><br>";
}

$conn->close();

Synes godt om

arne_v Ekspert

27. oktober 2017 - 21:08 #1

Nej.

Drop escape og brug prepared statement.

Synes godt om

elefant Juniormester

27. oktober 2017 - 21:12 #2

#1 Jeg har prøvet at se på det, men det ser meget svært ud.

Og koden bliver meget svær at gennemskue, eller er det bare mig der gør det forkert?

Synes godt om

arne_v Ekspert

27. oktober 2017 - 21:27 #3

Jeg synes ikke at det er saa slemt.

Eksempel:

http://www.vajhoej.dk/arne/articles/phpdb.html#mysqli_oo

Synes godt om

elefant Juniormester

27. oktober 2017 - 21:42 #4

Ja det ser ikke så svært ud.

Men så mangler jeg lige at finde ud af hvordan man undgår SQL injection, hvis man bruger prepared statement.

Synes godt om

Slater Ekspert

27. oktober 2017 - 21:49 #5

Det behøver du ikke længere.

Injections sker fordi du normalt sender hele instruktionen til SQL enginen som en streng, hvor visse tegn betyder nogle bestemte ting. Hvis brugeren efterligner de tegn, kan det opfattes som instruktioner i stedet for værdier, fordi når det bare er en streng, aner serveren ikke hvad der kommer fra brugeren og hvad der er fra koden.

Når du bruger prepared statements, sender du kun instruktionerne som en streng, og værdierne helt separat fra denne, så serveren ikke er i tvivl om hvad der er hvad. Derfor er injections ikke længere et umiddelbart problem.

Synes godt om

elefant Juniormester

27. oktober 2017 - 22:05 #6

#5 Nu har jeg ikke afprøvet det. Men vil det sige at man ikke behøver at gøre noget for at beskytte sig mod dette?

' or '1'='1

Synes godt om

Slater Ekspert

28. oktober 2017 - 00:08 #7

#6: Ja. Grunden til at det normalt skaber problemer, er at det bliver sendt som én streng med både instruktioner og værdier i, og ' derfor kan opfattes som afslutningen på en værdi, selvom det efterfølgende er en del af værdien.
Med prepared statements er værdier ikke begrænset af anførselstegn eller noget andet tegn. De sendes helt separat til databaseserveren.

Synes godt om

arne_v Ekspert

28. oktober 2017 - 00:53 #8

http://www.vajhoej.dk/arne/articles/prepparam.html

har en laengere forklaring omkring det. Og flere mysqli eksempler.

Synes godt om

Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Følg dette spørgsmål

Opret Preview

Flere spørgsmål fra PHP kategorien

Titel	Indlæg	Oprettet	Seneste aktivitet
Vælg post rækkefølge Af Mojo_dk i PHP	3	06/04/202418:40	07/04/202412:20
Hjælp til PHP Af Friis77 i PHP	5	11/02/202419:58	12/02/202407:55
Total antal records med undtagelse Af uac i PHP	5	09/02/202414:55	09/02/202415:30
Delete form Af lefsa62 i PHP	1	29/01/202412:40	29/01/202412:41
kontrol af captcha virker ikke Af Asky i PHP	17	19/01/202420:16	22/01/202410:24

Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten

Seneste artiklerRSS