ну во первых тут много кто умеет ее делать, к примеру я
а это, вообще не защита от sql инъекции
юзай mysql_real_escape_string, вообще перед выбором данных в бд напиши так

<?php

if(get_magic_quotes_gpc()) {

$YourVariables = stripslashes($YourVariables);

}

$YourVariables = mysql_real_escape_string($YourVariables);

// Тут твой запрос к примеру
$query = "SELECT * FROM table WHERE name='" . $YourVariables . "'";

$result = mysql_query($query);

?>

И всегда переменную с помощью которой ты вытаскиваешь значения закавычивай

А почему то что я нашёл то не защита ?... Я новичёк, и поэтому то что ты написал мне не понятно ((((....Ну ладно... посмотрим ещё на ответы

Для начала тут почитай. Дальше сам думай.

Создай таблицу user, с полями id, name и password, далее,
напиши такой код

<?php

$id = $_GET['id'];

$result = "SELECT name FROM user WHERE id=$id";

$result = mysql_query($result);

$arr = mysql_fetch_array($result);

do
{
echo $arr['name'];
}
while($arr = mysql_fetch_array($result));

?>

То есть обычный код и без защиты, даже без кавычек
Зайди на эту страницу и напиши к примеру вот так в адресной строке
http://localhost/test.php?id=1 and 1 <> 1 union select password as name from user where id=1
и посмотри что выведется :)

попробуй, посмотри в чем прикол будет
Думаю тебя это заинтересует

и не забудь к базе подключиться

я ему тут помогаю, а он свалил куда-то

Да подключился но ни фига

$id = $_GET['id'];

$result = "SELECT name FROM test WHERE id=$id";

$result = mysql_query($result);

$arr = mysql_fetch_array($result);

do
{
echo $arr['name'];
}
while($arr = mysql_fetch_array($result));

Да не свалил я ни куда)) просто тестил

$res = mysql_query("SELECT * FROM `table` WHERE `login`='my'; DELETE  FROM `table` WHERE `login`!='0'");

А потом допёрло, что эт овроде для устарелых версий баз данных

Это устарело до того, как появилось на свет. Сюда ходи.

в смысле не получилось у тебя нифига?

как ты таблицу назвал?

заполнил ее?

покажи сюда запрос в адресной строке?
по идее он должен быть таким
?id=1 and 1 <> 1 union select password as name from test where id=1

wollk
Предлагаю развеять твои сомнения. Открой дыру на своем сайте и выстави ссылку на него. Если сайт не однодневка - узнаешь, за какой период твой сайт был взломан посетителями и экспертами форума.

Ну что, получилось?

ну я твой и вставил

Никогда никто в здравом уме и рассудке не станет ломать чужой сайт.
Во первых, это уголовно накозуемое деяние.
Во вторых, это требует много времени.
В третьих, это не этично. Это как залезть в чужую квартиру, если хозяин забыл ключ в замке.

По этому всякие темы "проверьте на предмет дыр" мимо кассы.

Есть специалисты, они за это получают бабке. Им можно и должно.

А мы можем только учить как делать правильно. Так что я против того, что бы

так... скажи как у тебя называется такблица, заполнил ли ты все поля? id,name,password?

эм, ладно, я для тебя стараюсь... Хотел объяснить поподробней как защититься...

Защититься можно просто...

intval($_GET["id"]);

Правильно)))? просто я не могу часто сюда заходить....

в данном случае можно, но есть случаи, где такое не пройдет

И у меня половина POST и GET (где не числа) фильтруются функцией лимпиар (что в начале темы я писал.... Все числа фильтруются или is_numeric или intval. Ты сказал что это всё не защита, то прийдётся переписать весь скрипт... Только всёравно вопрос что записать в limpiar чтобы не переписывать весь скрипт

Что за PDO ? И чем плох magic_quotes_gpc ?

Народ ,скажите Бога ради, почему никто не смотрит в сторону mysqli? Почему все на этом форуме пользуются устарелыми функциями?

Чем плох понял. Но я сомневаюся что лишние ковычки будут появлятсья в простых словах, и можно просто их убирать при получении запроса из БД

Arni

Это конечно хорошо наверное, но я не могу найти в интернете (на странице в гугле))) операторов MySQLLi

А что за защита от инъекций в mysqli

wollk
mysqli_real_escape_string();

Мда.... почитать бы ещё гдето про эту функцию... везде на англ. пишут, а переводчик переводит -

Люди если у когото есть ссылка на русский справочник с описанием этой чтуки дайте пожалуйста, или сами напишите подробно что она делает .. плиз)

wollk, вот

спс

Точно.. надо было не mysqlI искать, а просто mysql.... надеюсь разницы ни какой

А теперь вопрос, перед какими именно запросами ставить эту чтуку...? INSERT UPDATE или вообще перед всеми...

или такой чтукой вообще переменные перед запросами проверять ?

wollk
ставить ее нужно не ПЕРЕД запросами, а В запросах, тоесть ей нужно обрабатывать данные, используемые в запросе:

$query = "SELECT * FROM `table` WHERE `field`='" . mysqli_real_escape_string($var) . "'";

вобщем-то, все также как и c mysql_real_escape_string();

Получается проще
$var=mysqli_real_escape_string($_POST["bl"]) ;
$query = "SELECT * FROM `table` WHERE `field`='$var'";

Люди а не проще у себя на сайте запретить анг. алфавит )))) ?

wollk

wollk

wollk
Делай как хочешь, я лишь высказал свое мнение. Если ты не понимаешь, что такие запреты чреваты низкой посещаемостью как минимум, то запрещай. Потом сделаешь нужные выводы.

wollk не важно, английский или китайский, кавычки везде одинаковые, а их надо при обработке данных экранировать

Да я же и не собирался язык запрещать ,что вы пристали !!!!

wollk
Я часто делаю вставки на английском, когда разговариваю о PHP, или о другом языке, например PERL, зачем же запрещать??

вы точн оиздеваетесь)) .. ладно а как все символы перевести в HTML... (кодировку, или как правильно сказать), а потом обратно. А то у меня что то не получалось

Не получалось у тебя не только сделать, но и сказать. Вообще непонятно мне, что именно ты хочешь. =)
И никто не издевается, может шутят они, но только по доброму, тут все хорошие =)