php - Check for Sql Injection - Udvikleren.dk - Programmering, webdesign og grafik

Tags: php mysql sql

Bruger #16838 @ 18.04.12 21:48

Er dette her en god måde at tjekke om der er forsøg på sql injection?

PHP kode

 $string = "anything' OR 'x'='x";
 if (mysql_real_escape_string($string)) {
     echo "Du laver lige nu en sql injection";
 } else {
 echo "Du laver IKKE sql injection";
 }

4 svar postet i denne tråd vises herunder
1 indlæg har modtaget i alt 1 karma

Sorter efter stemmer Sorter efter dato

Bruger #4879 @ 18.04.12 22:08

227

Ok, min fejl.

Jeg ville tro, at du kan tjekke om den har escapet noget, ved at se, om den er forskellig fra den initiale streng.

PHP kode

 $string = "anything' OR 'x'='x";
  if (mysql_real_escape_string($string) != $string) {
      // der var specielle chars der blev escapet i strengen
  } else {
      // der blev ikke escapet noget
  }

Bruger #4879 @ 18.04.12 22:00

227

Hej

Jeg tror du har misforstået, hvad mysql_real_escape_string() gør. Den escaper specielle tegn i en streng, og returnerer strengen.

Den melder ikke tilbage med en true/false om hvorvidt man forsøgte at lave SQL injection.

Prøv at se hvad

PHP kode

 echo mysql_real_escape_string($string);

siger. Så kan du bedre forstå, hvad funktionen gør.

Bruger #16838 @ 18.04.12 22:05

169

Jeg tror ikke jeg har misforstået hvad den gør.
Troede bare at den kunne tjekke om den fjernede noget eller ej.

- Er der en anden mulig for at tjekke?

Har tænkt mig at gøre det med disse tre.
mysql_real_escape_string
strip_tags
stripslashes

Bruger #16838 @ 18.04.12 22:13

169

Genialt

Super tak.

Check for Sql Injection

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler