PHP a MySQL - zabránění SQL injection

Zdravíčko,

potřeboval bych poradit, jak zabránit SQL injection.

Zatím to mám napsané "škaredě", takto:


$datetime = $_POST['datum'];
 $sql = "INSERT INTO tabulka (datumacas) VALUES ('$datetime')";

A podobně nezabezpečeně edituji data:


 $datetime = $_POST['datum'];
 $sql = "UPDATE tabulka SET datumacas = '$datetime'";

Existuje nějaký jednoduchý způsob, aniž bych to musel nějak notně celé přepisovat?

Díky

Jsou zobrazeny jen nové odpovědi. Zobrazit všechny

Předmět	Autor	Datum
No :-) Ten příspěvek od MASO už byl přímo červený (navštívený). Asi to budu muset hasit takhle, co… nový Flash_Gordon 03.12.2019 21:53	Flash_Gordon	03.12.2019 21:53
Nebo ještě se zeptám takhle, co když si napíšu tuhle funkci: function BlockSQLInjection($str) { ret… nový Flash_Gordon 03.12.2019 22:02	Flash_Gordon	03.12.2019 22:02
Přiznám se, že funkci vůbec nerozumím. Mění apostrof za apostrof a uvozovku za její HTML entitu? Kaž… poslední hynajs 04.12.2019 09:07	hynajs	04.12.2019 09:07

Ten příspěvek od MASO už byl přímo červený (navštívený).

Asi to budu muset hasit takhle, co?


$stmt=$conn->prepare(INSERT INTO MyGuests(firstname,lastname,email)VALUES(?,?,?)");
$stmt->bind_param("sss",$firstname,$lastname,$email);
//set paramters and execute
$firstname="John";
$lastname="Doe";
$email="john@example.com";
$stmt->execute();

Nebo ještě se zeptám takhle, co když si napíšu tuhle funkci:

function BlockSQLInjection($str)
{
return str_replace(array("'",""","'",'"'),array("'","&quot;"'","&quot;",$str));
}

a následně budu používat:

$userName=BlockSQLInjection($_POST['userName']);
$password=BlockSQLInjection($_POST['password']);

Přiznám se, že funkci vůbec nerozumím.
Mění apostrof za apostrof a uvozovku za její HTML entitu? Každopádně i syntaxe je špatně - """ a závorky.
Podle předchozího příspěvku jsi si nastudoval PDO, takže proč knihovnu nepoužiješ.
Pokud používáš mysqli, pak kýžená funkce je mysqli.real-escape-string.php .

Zpět do poradny Odpovědět na původní otázku Nahoru