SQL injection vedelem

Anonymous · 2006. Okt. 20. (P), 07.39

Hello
Van egy regisztraciora szolgalo urlapom, amelyen letezik egy csomo input field.

A fontosabb input fieldek a kovetkezok : username, e-mail, password

Ezeket a kovetkezo keppen visszem be adatbazisba :

<?php
$querydb = "INSERT INTO fj_users (id,username,email,password) VALUES (0, '".$username."', '".$email."', '".$password."');
mysql_query($querydb) or die(mysql_error());
?>


<?php
$querydb = "INSERT INTO fj_users (id,username,email,password) VALUES (0, '".$username."', '".$email."', '".$password."');
mysql_query($querydb) or die(mysql_error());
?>

Jobb lenne mysql_real_escape_string-et hasznali az adatok bevitelenel ?
Tudna valaki mutatni egy rovid peldat. Es nezegettem a http://www.php.net/manual/en/function.mysql-real-escape-string.php lapot de csak SELECT-re adnak peldat.

Nagyon halas lennek va valaki szakitana ram par percet.

Koszonom !

■

csirip

ugyan úgy

Szekeres Gergő · 2006. Okt. 20. (P), 09.00

$querydb = sprintf("INSERT INTO fj_users
(username,email,password)
VALUES ('%d', '%d', '%d')",
mysql_real_escape_string($_POST['username'],
mysql_real_escape_string($_POST['email'],
mysql_real_escape_string($_POST['pass']);



$querydb = sprintf("INSERT INTO fj_users
                    (username,email,password)
                    VALUES ('%d', '%d', '%d')",
                    mysql_real_escape_string($_POST['username'],
                    mysql_real_escape_string($_POST['email'],
                    mysql_real_escape_string($_POST['pass']);

1, auto_inc mezőknek nem kell tartalmat adni
2, insertnél ugyan úgy működik mindnen, mint selectnél...
3, "élesbe" ne irasd ki a mysql_error()-t
3, jobb lenne írni erre egy saját függvényt, ami kiszedi a nem megfelelő karaktereket, és egyben escapeel is.

A hozzászóláshoz regisztráció és belépés szükséges
új téma

először is...

TeeCee · 2006. Okt. 20. (P), 09.02

... a $username az ugye nem register_globals=on-nal kapott változó?

Amúgy meg a SELECT miben különbözik az INSERT-től?

<?php
$username = mysql_real_escape_string( $_POST['username'] );
$password = mysql_real_escape_string( $_POST['password'] );
$email = mysql_real_escape_string( $_POST['email'] );
$querydb = "INSERT INTO fj_users (id,username,email,password) VALUES (0, '".$username."', '".$email."', '".$password."');
mysql_query($querydb) or die(mysql_error());
?>


<?php
$username = mysql_real_escape_string( $_POST['username'] );
$password = mysql_real_escape_string( $_POST['password'] );
$email = mysql_real_escape_string( $_POST['email'] );

$querydb = "INSERT INTO fj_users (id,username,email,password) VALUES (0, '".$username."', '".$email."', '".$password."');
mysql_query($querydb) or die(mysql_error());
?>

Ha még szebben akarod megoldani, akkor:

<?php
function getInput( $inputName ) {
return mysql_real_escape_string( $_POST['username'] );
}
$username = getInput( 'username'] );
$password = getInput( 'password'] );
$email = getInput( 'email'] );
$querydb = "INSERT INTO fj_users (id,username,email,password) VALUES (0, '".$username."', '".$email."', '".$password."');
mysql_query($querydb) or die(mysql_error());
?>


<?php
function getInput( $inputName ) {
  return mysql_real_escape_string( $_POST['username'] );
}
$username = getInput( 'username'] );
$password = getInput( 'password'] );
$email = getInput( 'email'] );

$querydb = "INSERT INTO fj_users (id,username,email,password) VALUES (0, '".$username."', '".$email."', '".$password."');
mysql_query($querydb) or die(mysql_error());
?>

Remélem, tudtam segíteni...

(Csak nekem tűnik úgy, hogy nem színezi rendesen a PHP-s kódot? rosszul írtam bele valamit?)

A hozzászóláshoz regisztráció és belépés szükséges
új téma

hiányzik egy idézőjel

Anonymous · 2006. Okt. 20. (P), 10.06

a $password után még hozzáfűzöl egy aposztrófot és egy zárójelet a $querydb változóhoz, de nem zárod le a sztringet az idézőjellel:

<?php
$querydb="... (".$password."');
?>


<?php
$querydb="... (".$password."');
?>

gex

A hozzászóláshoz regisztráció és belépés szükséges
új téma

A sietség átka

TeeCee · 2006. Okt. 20. (P), 11.18

Köszi gex!
Siet az ember, aztán meg mutatja a hibáskódot és nem érti, hogy mi a baja ;-)
Ráadásul az értékadások után is elrontotam a cut'n'paste-t, bennmaradt egy "]", de az eredeti kérdezőtől bemásolt kód is eleve syntax hibás volt...

<?php
function getInput( $inputName ) {
return mysql_real_escape_string( $_POST['username'] );
}
$username = getInput( 'username' );
$password = getInput( 'password' );
$email = getInput( 'email' );
$querydb = "INSERT INTO fj_users (id,username,email,password) VALUES (0, '".$username."', '".$email."', '".$password."')";
mysql_query($querydb) or die(mysql_error());
?>


<?php
function getInput( $inputName ) {
  return mysql_real_escape_string( $_POST['username'] );
}
$username = getInput( 'username' );
$password = getInput( 'password' );
$email = getInput( 'email' );

$querydb = "INSERT INTO fj_users (id,username,email,password) VALUES (0, '".$username."', '".$email."', '".$password."')";
mysql_query($querydb) or die(mysql_error());
?>

A hozzászóláshoz regisztráció és belépés szükséges
új téma

H	K	Sze	Cs	P	Szo	V
31	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30	1	2	3	4

Weblabor

Keresés