SQL Injection Werkt niet!?!

Door Shu Chen op 02-12-2010 13:25

2.603 views

Hallo PHP hulpers

Ik heb een website waar dit voorkomt http://www.blablabla.nl/newspage.php?id=1 alleen is het is niet anti sql injection. Dus ik heb geprobeerd op te beveiligen. nu heb ik dit toegevoegd.

$id = htmlspecialchars(mysql_real_escape_string($_GET['id']));

maar helaas werkt dit niet! Ik gebruik het programma Havij om te testen en kan gewoon in de database komen! Tenzij als ik is_numeric function toevoegd kan hij er niet erin. Maar is dit dan wel veilig genoeg? en mysql_real_escape is toch meer dan genoeg om SQL Injection te voorkomen?

Graag jullie mening.

Met Vriendelijke Groet,

Shu

Chris -

03-12-2010 11:29

Een geautomatiseerd script levert nooit dezelfde resultaten als een handmatige injectie. Kun je mij de URL per PM sturen?

Shu Chen

03-12-2010 11:41

PM Verstuurd.

Snap gewoon heel mysql real escape string gewoon niet!

index.php
<?php
include (connection.php);
$query1 = "SELECT * FROM test";
$result = mysql_query($query1);
while($row = mysql_fetch_array( $result )) {
echo $row['content'] . " <a href='test.php?id=" . $row['id'] . "'>Lees artikel</a><br>";

}

?>

test.php
<?php
include (connection.php);
$id = mysql_real_escape_string($_GET['id']);
$result = mysql_query("SELECT * FROM test Where id = $id")
or die(mysql_error());
while($row = mysql_fetch_array( $result )) {
echo $row['id'] . $row['content'];
}

?>

Reageren

Inloggen om te reageren