Lager dan...in een query

Door Tim Groot op 08-01-2007 09:22

1.843 views

beste leden,
in gewone php kun je makkelijk < (lager dan) maken. Nu wil ik dit al in mijn query doen dus, maar dat werkt nog niet.
iets in de geest van....

$sql = mysql_query("SELECT id,titel FROM cms_forum_cats WHERE id=<'40' ORDER by id ASC")or die(mysql_error());

Weet iemand hier de precieze oplossing voor?

Tim Groot

08-01-2007 09:25

Al gevonden

$sql = mysql_query("SELECT id,titel FROM cms_forum_cats WHERE id <'40' ORDER by id ASC")or die(mysql_error());

Joren de Wit

08-01-2007 16:01

Alleen horen er geen quotes om de 40, het is immers een integer...

Tim Groot

10-01-2007 12:45

is er dan geen kans op injectie als je de quotes weg haald?

Jacco Engel

10-01-2007 12:47

Ligt er aan hoe je het gebruikt.

Als het een variabele waarde is die door de gebruiker bepaald kan worden is dat mogelijk maar alleen als je geen controlles uitvoerd.

Robert Deiman

10-01-2007 13:20

Tim Groot schreef op 10.01.2007 12:45
is er dan geen kans op injectie als je de quotes weg haald?

Juist niet, als het veld is ingesteld als een integer en "slikt" ook alleen maar integers. Dan moeten de quotes er om weg, en in een integer veld kan dan geen injectie plaatsvinden. Zet gewoon intval() om de variabele die je in je query wil gebruiken, dan is dat risico helemaal weg.

Reageren

Inloggen om te reageren