Preventing SQL Injection with MySQL and PHP

Ik zou het inderdaad houden op die regel die jij geeft.
magic-quotes is een gedrocht uit de oudheid van PHP waarbij "voor de veiligheid" vanalles in de input-variabelen maar vast voorzien werd van \\\\
óók voor input die helemaal niet naar een database ging.

Ik zou er ook geen losse functie voor gebruiken: dan moet je ook weer zorgen dat $dbconnection_as ook bekend is binnen de function.

Maar als je verbetering zoekt: ik zou nóg liever gaan voor prepared statements.

even voor mijn beeld ....wat is een prepared statements? :-|

[size=xsmall]Toevoeging op 10/06/2025 16:44:18:[/size]

Het lukt niet helemaal :-(

in mijn connect.php heb ik staan
(ipv de $server etc uiteraard de juiste waardes)

$dbconnection_as = mysqli_connect($server,$user,$pass, $db);

if (mysqli_connect_errno()) {
  echo "Failed to connect to MySQL: " . mysqli_connect_error();
  exit();
}

in de function.php staat

include_once('connect.php');

GLOBAL $dbconnection_as;

function clean_query($string)
{	$string = mysqli_real_escape_string($dbconnection_as, $string);
return $string;
}

In het errorlog staat mysqli_real_escape_string() expects parameter 1 to be mysqli, null given


wat doe ik fout?

Prepared statements kan je vergelijken met een sjabloon voor een SQL-statement gemaakt en naar de database verzonden. Bepaalde waarden blijven ongespecificeerd, parameters genoemd (aangeduid met "?"). Je hoeft je dan niet met te bekommeren om escaping.

Er is genoeg documentatie over te vinden.

Over je tweede vraag: $dbconnection_as geeft geen juist resultaat. Mist de connectie niet? Al zou ik persoonlijk ervoor kiezen om GLOBAL te vermijden en deze via een argument mee te geven.

Maar wat is volgens jouw het nut om een functie zelf te kopieren? Het klinkt zinloos.

Dat Prepared statements heb ik idd genoeg documentatie gevonden. Dus dat ga ik later even bekijken.

De connect.php gebruik ik ook in andere scripts en daar werkt het.

Maar waarom hij de de Functions.php nioet werkt.....
Met die GLOBAL dacht /hoopte ik te bereiken dat hij ook

$string = mysqli_real_escape_string($dbconnection_as, $string); 

zou worden herkent.

Ik kopieer de functie juist niet. in het functions.php bestand heb ik één functie staan met: mysqli_real_escape_string en die functie wordt waar nodig vanuit andere scripts aangeroepen.

Waarom zou je niet gewoon mysqli_real_escape_string($dbconnection_as, $string) gebruiken in plaats van de clean_query()?

Verder hoort die global IN de functie.

Ja dat is een goede vraag :-)

Die clean_query() had ik als functie gemaakt, omdat ik die dan maar op één locatie hoeft te beheren.

Maar een

 	p.as_season_id = mysqli_real_escape_string(".$dbconnection_as, $seasonid.")

is net zo goed als een

	p.as_season_id = clean_query('.$seasonid.")

Denk ik... ;-)

Klopt!

Ik twijfel of die $dbconnection_as wel "doorkomt"

er staat een

if (mysqli_connect_errno()) {
  echo "Failed to connect to MySQL: " . mysqli_connect_error();
  exit();
}

bij, maar ik zie nergens een melding dat het fout gaat :-(

Zie mijn vorige post van 18:15:44

Mar kla op 10/06/2025 15:55:31

in de function.php staat

include_once('connect.php');

GLOBAL $dbconnection_as;

function clean_query($string)
{	$string = mysqli_real_escape_string($dbconnection_as, $string);
return $string;
}

De global moet wel IN de function staan.

include_once('connect.php');

function clean_query($string)
{	GLOBAL $dbconnection_as;
	$string = mysqli_real_escape_string($dbconnection_as, $string);
return $string;
}