Я использую запрос JQuery AJAX на страницу с именем like.php которая подключается к моей базе данных и вставляет строку. Это код like.php : <?php // Some config stuff define(DB_HOST, 'localhost'); define(DB_USER, 'root'); define(DB_PASS, ''); define(DB_NAME, 'quicklike'); $link = mysql_connect(DB_HOST, DB_USER, DB_PASS) or die('ERROR: ' . mysql_error()); $sel = mysql_select_db(DB_NAME, $link) or die('ERROR: ' . mysql_error()); […]
Поэтому в этой программе, которую я пишу, я на самом деле беру SQL-запрос от пользователя, используя форму. Затем я продолжаю выполнять этот запрос в своей базе данных. Я не знаю, как «доверять» пользователю, поэтому я хочу сделать санитацию на входе. Я пытаюсь использовать mysql_real_escape_string но не удалось добиться его работы. Вот что я пытаюсь, учитывая […]
Я пытаюсь защитить себя от SQL-инъекции и использую: mysql_real_escape_string($string); При публикации HTML это выглядит примерно так: <span class="\"className\""> <p class="\"pClass\"" id="\"pId\""></p> </span> Я не уверен, сколько еще добавлений, добавленных real_escape_string, поэтому не хотят просто заменять несколько и пропустить других … Как мне «декодировать» это обратно в правильно отформатированный HTML-код с чем-то вроде: html_entity_decode(stripslashes($string));
Я просто переехал в новую хостинговую компанию, и теперь всякий раз, когда строка сбегает, используя: mysql_real_escape_string($str); в базе данных остаются слэш. Это первый случай, когда я когда-либо видел это, поэтому ни один из моих скриптов не использует stripslashes() больше. Это на CentOS 4.5 64-разрядной версии php 5.2.6 как fastcgi на сервере lighttpd 1.4. Я гарантировал, […]
Я очень привык использовать MySQL и mysql_real_escape_string (), но мне был предоставлен новый проект PHP, который использует ODBC. Каков правильный способ избежать ввода пользователя в строку SQL? Достаточно ли addlashes ()? Я хотел бы получить это прямо сейчас, а не позже!
Я читал об обеспечении PHP-приложений, и мне кажется, что mysqli_real_escape_string – это правильная функция, используемая при вставке данных в таблицы MySQL, потому что addslashes может вызвать некоторые странные вещи для умного злоумышленника. Правильно? Однако есть одна вещь, которая меня путает. Кажется, я помню, как было htmlentities лучше, чем htmlentities когда повторяет введенные пользователем данные обратно […]
Я бы хотел, чтобы функция вела себя как mysql_real_escape_string без подключения к базе данных, так как иногда мне нужно выполнять сухое тестирование без подключения к БД. mysql_escape_string устарел и поэтому нежелателен. Некоторые из моих выводов: http://www.gamedev.net/community/forums/topic.asp?topic_id=448909 http://w3schools.invisionzone.com/index.php?showtopic=20064
Мне сказали, что мне лучше использовать PDO для MySQL escaping, а не mysql_real_escape_string . Может быть, у меня день мозговой смерти (или это может быть тот факт, что я не охвачен воображением естественным программистом, и я все еще очень на стадии новичка, когда речь заходит о PHP), но имея проверил руководство по PHP и прочитал […]
Я видел, что несколько человек здесь mysql_real_escape_string что объединение запросов с использованием mysql_real_escape_string не защитит вас (полностью) от атак SQL-инъекций. Тем не менее, я еще не видел пример ввода, который иллюстрирует атаку, с которой mysql_real_escape_string не защитит вас. Большинство примеров забывают, что mysql_query ограничивается одним запросом и неправильно использует mysql_real_escape_string . Единственный пример, о котором […]
Так это то, о чем мы все должны знать, и играли на уме, когда я впервые увидел это. Я знаю, что mysql_escape_string устарел от 5.3, но какова была фактическая разница в mysql_real_escape_string . Я думал, что mysql_real_escape_string точно такой же, как mysql_escape_string кроме mysql_real_escape_string принимает второй аргумент для ресурса mysql. так что я подумал, что […]