Preventing SQL Injection with MySQL and PHP

Door mar kla op 10-06-2025 15:13

3.316 views

Ooit heel lang geleden heb ik onderstaand function script "gekregen/gevonden"

Daarmee vang ik ongewenste input mee af...als ik het goed heb begrepen.

In een query set ik deze code:

WHERE 
	p.as_season_id =  '".clean_query($season_id)."'

En via de function 'clean_query" krijg ik een "schone" string terug, toch?



# Preventing SQL Injection with MySQL and PHP 


function clean_query($string)
{
  if(get_magic_quotes_gpc())
  {$string = stripslashes($string);}
  if (phpversion() >= '4.3.0')
  {$string = mysql_real_escape_string($string);}
  else
  {$string = mysql_escape_string($string);}
  return $string;
}

Nu probeer ik een mysqli versie er van te maken. Maar dat lukt me dus niet :-(

Dit is mijn poging

mysqli_real_escape_string($dbconnection_as, $string));

Mijn vragen zijn deze: is deze code om te bouwen tot mysqli
of is er een kortere / betere methode?

Ivo P

11-06-2025 10:00

Maar zoals een paar keer gezegd: clean_query() doet nu niets anders meer dan mysqli-escapen.
Die overbodige stripslashses was vroeger ooit nuttig, maar nu dus weg.

En omdat mysqli- functies nu een verbinding met de database nodig hebben, moet je die verbinding binnen je functie zien te krijgen.

de oude mysql-functies hadden die parameter in principe ook, maar gebruikten in de praktijk als deze niet gegeven was gewoon "een" actuele verbinding die php beschikbaar had. dat was rommelig.

Argument om clean_query in ere te houden, is gemak, omdat je dan niet op 100 plekken de functie-aanroep moet aanpassen.
Maar een slimme zoek-en-vervang lost dat ook voor je op. :-)

m mar kla

12-06-2025 10:55

Op basis van alle tips / hints/ suggesties / etc
Heb ik even wat uurtjes zitten lezen en klooien.
Ik ben er nu met succes 50 scripts aan het aanpassen

dank voor de en reacties en hulp !

? Onbekende gebruiker

13-11-2025 10:20 gewijzigd op 13-11-2025 11:50

** modedit **
Stop met spammen! Op naar de eeuwige banvelden!

Reageren

Inloggen om te reageren