Supportnet / Forum / Skripte(PHP,ASP,Perl...)
SQL-Injecting vorbeugen
Frage
Hallo,
ich habe bei meiner Homepage nun viel mit Formularen gemacht, und möchte mich gehen eine SQL-Injecting absichern.
So habe ich es bei Select gemacht, das Funktioniert bei insert aber nicht, was kann ich dann da machen?
Reicht ein
$Inhalt = htmlentities($Inhalt);
[code]
<?php
// Quote variable to make safe
function quote_smart($value)
{
// Stripslashes
if (get_magic_quotes_gpc()) {
$value = stripslashes($value);
}
// Quote if not a number or a numeric string
if (!is_numeric($value)) {
$value = "´" . mysql_real_escape_string($value) . "´";
}
return $value;
}
// Connect
$link = mysql_connect(´mysql_host´, ´mysql_user´, ´mysql_password´)
OR die(mysql_error());
// Make a safe query
$query = sprintf("SELECT * FROM users WHERE user=%s AND password=%s",
quote_smart($_POST[´username´]),
quote_smart($_POST[´password´]));
mysql_query($query);
?>
[/code]
Hoffe ihr könnt mir helfen. würde gerne heute fertig werden ;)