Új hozzászólás Aktív témák

• #4372 Tele von Zsinór őstag radmin #4365

  Új Válasz 2010-04-05 01:59:06 #4372

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  Tele von Zsinór

  őstag

  válasz radmin #4365 üzenetére

  $sql="INSERT INTO 'tablanev' (termekek) VALUES ('$_POST[termek1]')";

  Ez így nagyon rossz. A $_POST tömb elemei a felhasználótól jönnek, ergo megbízhatatlanok. Olvass utána az SQL injection nevű támadásnak.
  A legegyszerűbb védekezés ellene az, ha nem közvetlenül adod át a mysqlnek a kapott értékeket, hanem escapeled, például így:

  $sql="INSERT INTO 'tablanev' (termekek) VALUES ('" . mysql_real_escape_string($_POST[termek1]) . "')";

  mysql_real_escape_string()

Új hozzászólás Aktív témák