htmlspecialchars() tegen sql-injection?

Door timmy op 26-07-2007 17:46

1.597 views

hallo mensen

ik ben bezig met een systeempje voor mn site en ik wilde ff zorgen dat sql injection niet mogelijk is, is de functie htmlspecialchars mischien een goede optie?
waarom het wel zou werken is omdat je de quotes kunt omzeten, maar je kan natuurlijk wel de funtie sluiten(zie voorbeeld)

$password = ) or '1'='1'

if($wachtwoord = htmlspecialchars($password) ){
doe iets
}else{
fout pass
}

of is dit niet mogelijk????

Frank -

26-07-2007 17:51

Onzin, nooit meer gebruiken. htmlspecialchars() gebruik je om html op het scherm te zetten. En dus niet om data in je database op te slaan. Hoe ga je anders een pdf aanmaken, een text-email versturen, rss-feed aanmaken, etc. etc. Kun je die html-rotzooi weer gaan omzetten naar iets bruikbaars. html is output en geen input.

mysql_real_escape_string() of één van de vele andere mogelijkheden (mysqli-extensie, PDO, etc.) zijn gemaakt om problemen met SQL-injection te voorkomen.

timmy

26-07-2007 17:54

:P ok bedankt

Reageren

Inloggen om te reageren