« ankstesnis sekantis »
Puslapiai: [1]   Žemyn

Autorius Tema: mysql_real_escape_string  (Skaityta 468 kartus)

Neprisijungęs kropto

  • Naujokas
  • *
  • Įrašai: 3
  • Karma: +0/-0
    • Žiūrėti profilį
mysql_real_escape_string
« Įrašytas: 2012-08-08 01:30:41 am »
Kaip veikia mysql_real_escape_string nes iraso i sql tuos simbolius "'><?@ ir t.t. nepakeistus ar jis neveikia? Pas mane yra webmin magic_quotes_gpc off

Nors pabandziau irasyti ' OR ''=' tai su mysql_real_escape_string  isiraso  ' OR ''=' , o be mysql_real_escape_string  isiraso 1, jei to 1 nera tai reiskia veikia? Gal nebutina tokia eilute addslashes(htmlspecialchars($input_r, ENT_QUOTES)); ?
« Paskutinį kartą keitė: 2012-08-08 01:36:20 am sukūrė kropto »
Prisijungęs

Neprisijungęs Gintas Kovalevskis

  • Dalyvis
  • **
  • Įrašai: 418
  • Karma: +15/-0
    • Žiūrėti profilį
    • Asmeninis portfolio
Ats: mysql_real_escape_string
« Atsakymas #1 Įrašytas: 2012-08-08 08:50:41 am »
mysql_real_escape_string pašalina/pakeičia simbolius, kurie gali pakenkti vykdant užklausą t.y. pašalina SQL infekcijos spragą. SQL infekcija yra vykdoma kabučių pagalba, t.y. vartotojas suvedęs SQL infekcijos kodą pradžioje padeda kabutes, kad uždarytų seną užklausą ir pradėtų savo kenksmingą užklausą. Taigi, kad kabutės nesuveiktų yra naudojami addslashes arba mysql_real_escape_string, o prie kabučių būna sudedami slashai ('/') arba kabutės pakeičiamos į kitas (dvigubas ar viengubas).

Kaip rašei, naudoti galima abu variantus, bet kaip kažkada man Lukas sakė, tai geriau naudoti funkciją, kuri būtent yra skirta atsikratyti SQL infekcijos, t.y. mysql_real_escape_string.
Prisijungęs

Nori ir tu tokio paveiksliuko? Apsilankyk FeedMage puslapyje

Neprisijungęs kropto

  • Naujokas
  • *
  • Įrašai: 3
  • Karma: +0/-0
    • Žiūrėti profilį
Ats: mysql_real_escape_string
« Atsakymas #2 Įrašytas: 2012-08-08 15:03:51 pm »
Man kazkodel slashu neprideda nors naudoju mysql_real_escape_string php versija 5.3.15 (apache2handler)
Prisijungęs

Neprisijungęs Lukas Liesis

  • Administratorius
  • Herojus
  • ******
  • Įrašai: 7385
  • Karma: +226/-15
    • Žiūrėti profilį
    • mano CV
Ats: mysql_real_escape_string
« Atsakymas #3 Įrašytas: 2012-08-09 21:46:57 pm »
Citata iš: Gintas Kovalevskis  2012-08-08 08:50:41 am
mysql_real_escape_string pašalina/pakeičia simbolius, kurie gali pakenkti vykdant užklausą t.y. pašalina SQL infekcijos spragą. SQL infekcija yra vykdoma kabučių pagalba, t.y. vartotojas suvedęs SQL infekcijos kodą pradžioje padeda kabutes, kad uždarytų seną užklausą ir pradėtų savo kenksmingą užklausą. Taigi, kad kabutės nesuveiktų yra naudojami addslashes arba mysql_real_escape_string, o prie kabučių būna sudedami slashai ('/') arba kabutės pakeičiamos į kitas (dvigubas ar viengubas).

Kaip rašei, naudoti galima abu variantus, bet kaip kažkada man Lukas sakė, tai geriau naudoti funkciją, kuri būtent yra skirta atsikratyti SQL infekcijos, t.y. mysql_real_escape_string.

visada jei yra tam reikalui skirtas daiktas, tai tam ir reikia naudoti, o kai pradedi kazkam kitam naudoti skirta dalyka ar tiesiog bendra kazka "tinkanti viskam", tai gali buti kad pridarysi kokiu nors klaidu, prarasi perfomenso ar dar kas. O siaip tai aisku, jei tau riekia sudelioti slashus, tai gali sudet ir su addslashes arba tiesiog norml pavaliduoti vartotojo pateikiamus duomenis dar pries dedant juos i sql uzklausa.
Prisijungęs
Jūsų draugas, kolega ir puslapio administratorius,

Lukas.

Manualai.lt Facebooke
serveriai.lt 50% nuolaida!
Free Hosting
Free Templates

Manualai.lt Forumas

Ats: mysql_real_escape_string
« Atsakymas #3 Įrašytas: 2012-08-09 21:46:57 pm »
Puslapiai: [1]   Viršun
« ankstesnis sekantis »