Hov. Du er ikke logget ind.
DU SKAL VÆRE LOGGET IND, FOR AT INTERAGERE PÅ DENNE SIDE

Sql hjælp?

Side 2 ud af 2 (14 indlæg)
Fra Silkeborg
Tilmeldt 19. Feb 07
Indlæg ialt: 2355
Fra  ZeroCode Skrevet kl. 00:28
Hvor mange stjerner giver du? :
Helt basalt ved at bruge parametre eller måske stored procedures.

Lidt natlæsning her : http://en.wikipedia.org/wiki/SQL_injection

Men google "sql injection" for mere.
Tilmeldt 18. Aug 11
Indlæg ialt: 163
Skrevet kl. 02:09
Hvor mange stjerner giver du? :

Hejsa Ole,

Også offtopic beklager men hvordan er det muligt at sql inject med denne query:

SELECT `produkt_id`, `produkt_navn`, `produkt_beskrivelse`, `produkt_pris`, `timestamp` FROM `varer` WHERE `produkt_navn` LIKE '%lø%' OR `produkt_beskrivelse` LIKE '%lø%' ORDER BY `timestamp` DESC 

Viser jo intet om hvor input kommer fra; om det er pure $_POST/GET data eller om der er blevet sanitized først inden input data anvendes :-) Desuden lige den query skal der bare søges efter lø i alle tilfælde, og derfor ikke afhængig af nogen form for input.
 

Det anbefales at bruge prepared statements med parametre, det er jeg enig i!, men uanset hvad så modtager databasen ren query som den ovenover..

Ret mig gerne hvis jeg har fejl, det er min forståelse indenfor dette :-)

Glædelig jul

PS. En fin side om sql injection http://bobby-tables.com/php.html

Tilmeldt 18. Aug 11
Indlæg ialt: 163
Skrevet kl. 02:13
Hvor mange stjerner giver du? :
Fra Silkeborg
Tilmeldt 19. Feb 07
Indlæg ialt: 2355
Fra  ZeroCode Skrevet kl. 09:11
Hvor mange stjerner giver du? :
Hej Azzyh

Ja, enig i at det konkrete statement ikke er sårbart, men har også svært ved at forestille mig, at det skal bruges i sin rene form - det giver jo ingen mening.

Så bare at der (i eksemplet) bliver anvendt et statement uden parametre og så ringer mine alarmklokker.

Bare trådstarter er med på en evt risiko

Venlig hilsen
Ole
Side 2 ud af 2 (14 indlæg)