Søg
Avatar billede Slettet bruger
26. maj 2010 - 15:27 Der er 4 kommentarer og
1 løsning

Datavask imod SQL-injection

Er dette så sikkert som jeg tror det er (dvs. 100%) ?

$result = mysql_query( "SELECT diller, daller FROM userZop WHERE UiD='".((int)$HTTP_COOKIE_VARS["UiD"])
."'" );

En UiD er altid et stort heltal (base 10).
- men aldrig større end 999.999.999.999 (uden punktummer, selvfølgelig)

Jeg bruger lignende opslag en million milliard steder i koden
- så målet er at vaske inputtet med så lidt sæbe som muligt...
Avatar billede arne_v Ekspert
26. maj 2010 - 15:33 #1
Saa vidt jeg kan se, saa faar castet til int fjernet diverse snavs.

Men jeg synes ikke at der er nogen speciel god loesning.

Den er nemlig kun brugbar med tal.

En maade at haandtere tal paa og en anden at haandtere strenge paa er efter min mening noget rod.

mysqli og prepared statement (eller PDO og samme) er vejen frem.

Indroemmet - det er en hel saebefabrik!
Avatar billede Slettet bruger
26. maj 2010 - 15:47 #2
"prepared statements"
- Er det ikke, når en Venstre-mand "tager en åben og ærlig diskussion"

Pjat, jeg vil læse op på det, tak : )


Til strengene havde jeg tænkt at "nøjes med" addslashes() og stripcslashes()
- er det ikke nok (gisp) ?
Avatar billede arne_v Ekspert
26. maj 2010 - 16:00 #3
addslashes er decideret en daarlig loesning.

Der er nogle skumle huller via kinesiske tegnsaet og lignende.

mysql_real_escape_string er samme ide og boer virke.

Men mysqli og prepared statement er en 2010 loesning - mysql_real_escape_string er en 2005 loesning.
Avatar billede Slettet bruger
26. maj 2010 - 16:31 #4
Hvor er jeg glad for at jeg spurgte!

mysql_real_escape_string() er jo meget lettere end add/stripslashes
- man slipper helt for at strippe :)

Og de "skumle huller" selvfølgelig - den værste slags.

Tak for advarslen.
- men jeg tror alligevel jeg gemmer mysqli og prepared statements til næste projekt..

Læg et svar og få din bekomst
Avatar billede arne_v Ekspert
26. maj 2010 - 16:38 #5
svar
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Webudvikling kurser
Vi tilbyder markedets bedste kurser inden for webudvikling
Se alle Webudvikling kurser

Flere spørgsmål fra PHP kategorien

Titel Indlæg Oprettet Seneste aktivitet
Bruge PHP til at hente hjemmeside med fsockopen Af Strawberry i PHP 7 I går 13:08 I går 15:23
Hjemmeside der virker både på mobil og computer Af Strawberry i PHP 5 25/01/202620:06 I går 20:11
Hvordan får jeg reCAPTCHA på min hjemmeside? Af Strawberry i PHP 1 20/01/202621:11 23/01/202618:04
MS Graph vis kalenderaftaler Af dane022 i PHP 0 06/11/202508:43 -
Hente data fra DEVICE via websocket Af nemlig i PHP 6 25/06/202512:37 25/06/202519:17
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 13:08 Bruge PHP til at hente hjemmeside med fsockopen Af Strawberry i PHP
28/0113:36 godt råd søges Alternativ styresystem på Mac pc Af luffe1955 i Andre styresystemer
28/0111:32 Hjælp til kontrol af sygefravær Af Maja i Excel
27/0113:59 2 skærme til en stationær computer Af BIRGER i Skærme
26/0119:26 Opstart af ny computer Af Bent i Windows
White papers
Flere white papers »