SQL Injection voorkomen

Door G Jansma op 16-09-2016 16:45

3.424 views

Hallo,

Ik had een vraag over het voorkomen van SQL injection. Ik had een functie gemaakt van wat ik er zoal over heb gevonden, maar ik vroeg me af of onderstaande code volstaat? Of zijn er nog dingen die ik zou moeten toevoegen? Hoe hebben jullie je hier tegen beveiligd? En überhaupt wel eens gehoord, of gehad, dat er op deze manier werd ingebroken?

function make_safe($var) {
global $con;
$var = htmlspecialchars(strip_tags(trim($var)));
$var = mysqli_real_escape_string($con, $var);
$var = addcslashes($var, '%_');
return $var;}

Groet

Ben van Velzen

16-09-2016 23:33

Sowieso, maar daar is het ook voor bedoeld: bij weergave.
>> Op zich is het dus niet zozeer schadelijk, maar ik begrijp dat het niet nodig is. De mysqli_real_escape_string volstaat dus in deze?

In dit specifieke geval is het niet zozeer schadelijk, maar er komt een moment/een project waar je zinloze "truc" wel tot problemen leidt, en dan heb je in het ergste geval reparaties uit te voeren aan je data. Baat het niet dan schaadt het niet gaat hier niet echt op, belangrijker is consistentie.

Reageren

Inloggen om te reageren