4. sql injection sichere funktion?

sql injection sichere funktion?

  • ?

    nabend,

    bevor meine variablen einem sql befehl übergeben werden, jage ich diese durch meine funktion:

    function keep_save_var(string) { return addslashes(string);
    }

    ich meine mich zu erinnern mal in einem forum gelesen zu haben, dass addslashes alleine nicht ausreicht um einen sql injection sicher zu machen.

    was meint ihr experten, müsste meine funktion noch erweitert werden?

    steffen

    0
  • F

    Ich würde mysql_escape_string nehmen...

    0
  • H
     

    function preventSQLInjection($value)
{
  // Stripslashes if we need to
  if (get_magic_quotes_gpc()) {
    $value = stripslashes($value);
  }

  // quote it if it's not numeric
  if (!is_numeric($value)) {
    $value = "'" . mysql_real_escape_string($value) . "'";
  }
  return $value;
}
    0
  • ?

    Wo wendet man diese Funktion an bzw. Wofür brauch ich das ?

    Kann ich nicht einfach meinen query ausführen mit den daten ?

    Ciao

    0
  • F

    Du brauchst das Ganze nur, wenn du Daten, die vom User kommen (GET, POST, COOKIE) in deinem SQL-Query verwendest, da sonst du Manipulation dieser Daten der User böse Sachen anstellen kann - wenn du nicht aufpasst 😉

    0
Anmelden zum Antworten