mysql_real_escape_string() op alle $_POST

Door stijn op 09-12-2007 18:35

1.125 views

Hallo,

Ik help iemand met het beveiligen van zijn site.. Dit begint dan natuurlijk met SQL injection controleren. Nu bleek dat ongeveer 75% van de querys niet beveiligd is. En gezien dat dat er ongeveer 300 zijn zou ik het leuk vinden als ik het via de config in een keer kon doen.

Het gaat alleen om POST inputs(geen GET).

Weet iemand een manier, en zitten daar nadelen aan?

Alvast bedankt,
stijn.

Onbekende gebruiker

09-12-2007 18:38

<?php
foreach($_POST as $part)
{
mysql_real_escape_string($part);
}
?>

Zoiets?

- -

09-12-2007 18:40

Dat zal niet helemaal werken. Use this:


<?php
    foreach ($_POST as $key => $value)
    {
        $_POST[$key] = mysql_real_escape_string( trim( $value ) );
    }
?>

PHP Newbie

09-12-2007 18:41

<?php
if(!get_magic_quotes_gpc())
{
function sql_escape_string($value)
{
$value = is_array($value) ? array_map('sql_escape_string', $value) : mysql_real_escape_string($value);

return $value;
}

$_POST = array_map('sql_escape_string', $_POST);
}
?>

Reageren

Inloggen om te reageren