Új hozzászólás Aktív témák

• #4372 Tele von Zsinór őstag radmin #4365

  Új Válasz 2010-04-05 01:59:06 #4372

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  Tele von Zsinór

  őstag

  válasz radmin #4365 üzenetére

  $sql="INSERT INTO 'tablanev' (termekek) VALUES ('$_POST[termek1]')";

  Ez így nagyon rossz. A $_POST tömb elemei a felhasználótól jönnek, ergo megbízhatatlanok. Olvass utána az SQL injection nevű támadásnak.
  A legegyszerűbb védekezés ellene az, ha nem közvetlenül adod át a mysqlnek a kapott értékeket, hanem escapeled, például így:

  $sql="INSERT INTO 'tablanev' (termekek) VALUES ('" . mysql_real_escape_string($_POST[termek1]) . "')";

  mysql_real_escape_string()

• #4367 Orb1337 tag radmin #4365

  Új Válasz 2010-04-04 18:22:52 #4367

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  Orb1337

  tag

  válasz radmin #4365 üzenetére

  Azt meg lehet valahogy oldani, hogy amikor rákattintok a Küldés gombra, akkor a felső részen ne a form action-nél megadott fájlt hívja meg, hanem töltse be újra az egész oldalt, de nem árt, ha az adatokat is bepréseli az adatbázisba.

  A form actiont a formot tartalmazó dokumentumra módosítod, ebben az esetben itt kell megoldanod az adatbázisba írást:

  if (!isset($_POST['submit'])) //ha megnyomja a gombot
  {
  //ide jöhet a beolvasás
  }

Új hozzászólás Aktív témák