PHP a MySQL - zabránění SQL injection

Zdravíčko,

potřeboval bych poradit, jak zabránit SQL injection.

Zatím to mám napsané "škaredě", takto:


$datetime = $_POST['datum'];
 $sql = "INSERT INTO tabulka (datumacas) VALUES ('$datetime')";

A podobně nezabezpečeně edituji data:


 $datetime = $_POST['datum'];
 $sql = "UPDATE tabulka SET datumacas = '$datetime'";

Existuje nějaký jednoduchý způsob, aniž bych to musel nějak notně celé přepisovat?

Díky

Jsou zobrazeny jen nové odpovědi. Zobrazit všechny

Předmět	Autor	Datum
Nebo ještě se zeptám takhle, co když si napíšu tuhle funkci: function BlockSQLInjection($str) { ret… Flash_Gordon 03.12.2019 22:02	Flash_Gordon	03.12.2019 22:02
Přiznám se, že funkci vůbec nerozumím. Mění apostrof za apostrof a uvozovku za její HTML entitu? Kaž… poslední hynajs 04.12.2019 09:07	hynajs	04.12.2019 09:07

Nebo ještě se zeptám takhle, co když si napíšu tuhle funkci:

function BlockSQLInjection($str)
{
return str_replace(array("'",""","'",'"'),array("'","&quot;"'","&quot;",$str));
}

a následně budu používat:

$userName=BlockSQLInjection($_POST['userName']);
$password=BlockSQLInjection($_POST['password']);

Přiznám se, že funkci vůbec nerozumím.
Mění apostrof za apostrof a uvozovku za její HTML entitu? Každopádně i syntaxe je špatně - """ a závorky.
Podle předchozího příspěvku jsi si nastudoval PDO, takže proč knihovnu nepoužiješ.
Pokud používáš mysqli, pak kýžená funkce je mysqli.real-escape-string.php .

Zpět do poradny Odpovědět na původní otázku Nahoru