Archief - SQL Injection

Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
K

KoenDK

Legacy Member
is de functie mysql_real_escape_string() voldoende om 100% zeker te zijn dat er geen sql injectie mogelijk is?
C

Cycloon

Legacy Member
Gebruik MySQLi en statements en je bent 100% safe tegen sql injectie.
K

KoenDK

Legacy Member
Tyfius zei:
Lees PHP: SQL Injection - Manual en PHP: mysql_real_escape_string - Manual eens.

Drupal gebruikt ook alleen maar mysql_real_escape_string() dus ergens zal dat toch wel werken. Daarnaast kan je via de PHP MySQL connector maar 1 commando per keer uitvoeren. Al bij al ga je sowieso redelijk veilig zitten en is heel die SQL injection heise wat overroepen.
Klik om te vergroten...

ik vind die heisa niet overroepen, wij zaten met een hacker die meer dan 20 formulieren heeft opgevuld met allerhande sql (hacking) codes

resultaat: meer dan 1000 records per database te deleten per db... ik wil dat geen 2 keer meemaken :lol:
l

legerguy

Legacy Member
ik gebruik addslashes. Dat zorgt ervoor dat voor de ' en de " een / komt, zodat ze geen PHP code in de form kunnen steken. Ik gebruik het nu een jaar, en nog nooit gehackt geweest.
T

Tyfius

Legacy Member
legerguy zei:
ik gebruik addslashes. Dat zorgt ervoor dat voor de ' en de " een / komt, zodat ze geen PHP code in de form kunnen steken. Ik gebruik het nu een jaar, en nog nooit gehackt geweest.
Klik om te vergroten...
Waarschijnlijk kunt ge dat 10 jaar niet gebruiken zonder ooit gehackt te worden. Niet echt een referentie.
i

iamdesign

Legacy Member
gebruik prepared statements ... hebde normaal int geheel geen last van.

als je framework gebruikt als codeigniter of cakephp zit dit al voorgeprogrammeerd, is ondersteund vanaf mysql4.
Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
Terug
Bovenaan