Søg
Avatar billede flushout Nybegynder
08. juni 2004 - 11:51 Der er 2 kommentarer og
1 løsning

Er denne funktion sikret ordentligt mod MySQL-injection?

Hejsa

Jeg har lavet denne lille funktion til at generere insert queries. Jeg vil gerne have sikret mine queries mod MySQL injection og andre angreb. Er de forholdsregler jeg tager her nok?

<?php
function _insertQuery($val, $_table)
{
  $query  = "INSERT INTO ";
  $column  = " ".mysql_escape_string(htmlentities(strip_tags($_table)))." (";
  $data    = "VALUES (";

  foreach ( $val as $key => $value ) {
      if (strlen($key) > 0 && strlen($value) > 0)
      {
          $column .= " ".mysql_escape_string(htmlentities(strip_tags($key))).",";
          $data  .= "'".mysql_escape_string(htmlentities(strip_tags($value)))."',";
      }
  }

  $column = rtrim($column, ",");
  $data = rtrim($data, ",");
 
  $query = $query . $column . ") " . $data . ") ";
 
  return $query;
}
?>

Mvh
Avatar billede dennismp Nybegynder
08. juni 2004 - 12:15 #1
Det tror jeg.

En anden detalje, så kunne du evt quote (med backticks) kolonnenavne og tabelnavne så du ikke får problemer hvis du fx. bruger et kolonnenavn som desc (som er et reserveret ord) .. Når du alligevel auto-genererer sql'en, så kan du ligeså godt bruge `desc`  (og det samme med tabelnavnet).
Avatar billede flushout Nybegynder
14. juni 2004 - 13:04 #2
ok.. smid et svar og du får nogle points :)
Avatar billede dennismp Nybegynder
14. juni 2004 - 13:24 #3
ok
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
SQL kurser
Computerworld tilbyder specialiserede kurser i database-management
Se alle SQL kurser

Flere spørgsmål fra MySQL kategorien

Titel Indlæg Oprettet Seneste aktivitet
Problemer med Æ, Ø og Å ved søgning Af cht22 i MySQL 6 01/05/202512:30 01/05/202517:22
Kan ikke få forbindelse til min database Af KurtG i MySQL 5 20/03/202520:07 21/03/202513:10
Kan jeg lave en "søg og erstat" i databasen Af a3-seo.dk i MySQL 4 28/12/202407:53 29/12/202404:41
Auto Faktura.. Af SommerFyr i MySQL 21 13/08/202415:08 15/08/202417:54
Hjemmeside med bruger login Af FennekTheFox i MySQL 3 22/06/202411:29 29/06/202409:13
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 10:22 Makro der gemmer vedhæftet fil fra Msg og omdøber filen Af lokesa i Excel
30/0313:45 Kablet forbindelse mellem android telefon og windows 11 pc Af 1Dorte i Android
30/0312:04 Elementtype vises - og ikke billedet? Af hkprofil i Billedbehandling
29/0312:08 Problemer med replay af købte kursusvideoer Af annam i Browsere
28/0311:18 DENVER DVB-tMPEG-4 HD TUNER Af ole falsted i Fjernsyn & projektorer
White papers
Flere white papers »