SQL Injections

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • SQL Injections

    Guten Morgen,

    ich habe erst vor kurzem angefangen zu "programmieren" PHP und MY SQL.

    Jetzt habe ich viel über SQL Injections gelesen.

    Meine Frage, wenn ich eine Variable so definiere
    $blabla= addslashes($_POST['blabla'])
    ist das ok ?
    Die Abfrage dann so Where xyz ='$blabla' ?
    Oder geht auch Where xyz ="'.$_POST['blabla'].'" ?

    Vielen Dank
    Micha

  • #2
    Du solltest mit get_magic_quotes_gpc prüfen, ob PHP add_slashes schon für dich aufgerufen hat, wenn ja, mache es mit strip_slashes rückgängig.

    Danach schicke den string durch mysql_real_escape_string bzw. wandle ihn in eine Zahl um
    Ich denke, also bin ich. - Einige sind trotzdem...

    Kommentar


    • #3
      Hallo ,

      danke, obwohl ich im Moment ein wenig verwirrt bin
      Ich bekomme das hin.

      Danke
      Micha

      Kommentar

      Lädt...
      X