Søg
Avatar billede Hans1 Praktikant
01. marts 2012 - 12:42 Der er 9 kommentarer og
1 løsning

SQL Injection

Hej

Hvordan ville i sikrer denne kode mod SQL Injection?


function Add($name) {
mysql_query("INSERT INTO table (name) VALUES ('$name')") OR DIE(mysql_error());
}
Avatar billede michael_stim Ekspert
01. marts 2012 - 12:49 #1
Kig til højre under seneste guides ;o)

http://www.eksperten.dk/guide/1479

http://www.eksperten.dk/guide/1480
Avatar billede Hans1 Praktikant
01. marts 2012 - 12:53 #2
Tak. Smid svar :)
Avatar billede michael_stim Ekspert
01. marts 2012 - 12:55 #3
Ellers tak, samler ikke på point. Læg selv et svar og glem ikke at accepter, så spørgsmålet bliver lukket.
Avatar billede Hans1 Praktikant
01. marts 2012 - 12:56 #4
Okay.
Avatar billede Tokez Nybegynder
01. marts 2012 - 13:45 #5
function Add($name) {
mysqli_query($con,"INSERT INTO table (name) VALUES ('".mysqli_real_escape_string($con,$name)."')") OR DIE(mysql_error());
}

Den klarer det hele for dig :-)
Avatar billede michael_stim Ekspert
01. marts 2012 - 13:49 #6
#5

Prøv du også at læse hvad Ole har skrevet ;o)
Avatar billede olebole Juniormester
01. marts 2012 - 16:14 #7
<ole>

@Tokez: Hvis man stædigt nægter at gøre brug af forbedringerne i MySQLI, er det naturligvis en mulighed - men det er langtfra hensigtsmæssigt  =)

/mvh
</bole>
Avatar billede Hans1 Praktikant
01. marts 2012 - 17:57 #8
@olebole

Hvis jeg nu bare vil udskrive alt fra en given tabel uden nogen WHERE sætninger.

Er det så sikkert at gøre sådan her:
SELECT `fornavn`, `efternavn` FROM `tabel`

Samt fjerne disse to linier:

    $stmt->bind_param('i', $id);
    $id = $_GET['id'];
Avatar billede olebole Juniormester
01. marts 2012 - 18:23 #9
Ja, det udtryk indeholder kun, hvad du selv har skrevet i koden. Så snart, du bruger input udefra - og det kan som sagt også være en cookie, som mange ikke tænker på som udefrakommende - skal du være på vagt  *o)
Avatar billede Hans1 Praktikant
01. marts 2012 - 18:28 #10
Perfekt. Tak.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Webudvikling kurser
Vi tilbyder markedets bedste kurser inden for webudvikling
Se alle Webudvikling kurser

Flere spørgsmål fra PHP kategorien

Titel Indlæg Oprettet Seneste aktivitet
Bruge PHP til at hente hjemmeside med fsockopen Af Strawberry i PHP 18 29/01/202613:08 02/02/202610:29
Hjemmeside der virker både på mobil og computer Af Strawberry i PHP 6 25/01/202620:06 30/01/202618:53
Hvordan får jeg reCAPTCHA på min hjemmeside? Af Strawberry i PHP 1 20/01/202621:11 23/01/202618:04
MS Graph vis kalenderaftaler Af dane022 i PHP 0 06/11/202508:43 -
Hente data fra DEVICE via websocket Af nemlig i PHP 6 25/06/202512:37 25/06/202519:17
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
42 min siden Vest Tysk film - fra 1955 ? - Søges - Navn på film og forfatter har jeg glemt Af Ikke-ekspert i Fri debat
I dag 05:41 Messenger kræver kode. Af Per i PC
25/0315:42 Kan ikke installere MitID app fra google play Af valby i Mobiltelefoner
23/0313:50 Ingen forb. fra ny pc'er til printer Af arnel i Printere
23/0313:24 Stempel ur start og stop Af lurup i Excel
White papers
Flere white papers »