querys beveiligen ?

Door Altin op 16-03-2007 19:02

2.105 views

Hallo,
Ik zou willen weten hoe je querys moet beveiligen, die info bevatten die door gebruikers zijn gesubmit.
Iemand heeft mij deze functie gegeven:
<?
function escape_get_post(){
foreach ($_POST as $key => $item)
$_POST[$key] = mysql_real_escape_string($item);
foreach ($_GET as $key => $item)
$_GET[$key] = mysql_real_escape_string($item); return;
}
?>
Maar ik hoorde dat je ook elke keer htmlentities moet doen.
Kan iemand mij zeggen hoe ik een zelfde functie daarvoor maak?

En moet er nog iets gedaan worden, of blijft het bij die 2?

Bj voorbaat dank!

Thijs X

16-03-2007 19:07

Het ligt een beetje aan de query's die je uitvoerd maar mysql_real_escape_string() of addslashes() zijn toch wel de belangrijkste om SQL injection tegen te gaan.

Mr D

16-03-2007 19:07

alleen mysql_real_escape_string voor strings is genoeg. als je een bijvoorbeeld een getal invoert hoef je die alleen te checken met is_numeric

Nick Mulder

16-03-2007 19:09

Dat zou je hetzelfde kunnen doen:
<?php
function htmlentities_get_post(){
foreach ($_POST as $key => $item)
$_POST[$key] = htmlentities($item);
foreach ($_GET as $key => $item)
$_GET[$key] = htmlentities($item); return;
}
?>

PHP Newbie

16-03-2007 19:11

htmlentities() voer je uit bij het uit de database halen, mysql_real_escape_string bij het invoeren.

Nick Mulder

16-03-2007 19:13

Eigenlijk maakt het niet uit wanneer je het uitvoerd, het is gewoon de rare tekens vervangen door hun valid html equivalent...

Reageren

Inloggen om te reageren