Lidt natlæsning her : http://en.wikipedia.org/wiki/SQL_injection Men google "sql injection" for mere. |
Hejsa Ole,
Også offtopic beklager men hvordan er det muligt at sql inject med denne query:
SELECT `produkt_id`, `produkt_navn`, `produkt_beskrivelse`, `produkt_pris`, `timestamp` FROM `varer` WHERE `produkt_navn` LIKE '%lø%' OR `produkt_beskrivelse` LIKE '%lø%' ORDER BY `timestamp` DESC
Viser jo intet om hvor input kommer fra; om det er pure $_POST/GET data eller om der er blevet sanitized først inden input data anvendes :-) Desuden lige den query skal der bare søges efter lø i alle tilfælde, og derfor ikke afhængig af nogen form for input.
Det anbefales at bruge prepared statements med parametre, det er jeg enig i!, men uanset hvad så modtager databasen ren query som den ovenover..
Ret mig gerne hvis jeg har fejl, det er min forståelse indenfor dette :-)
Glædelig jul
PS. En fin side om sql injection http://bobby-tables.com/php.html