Ist das hier halbwegs sicher?
PHP
$var = mysqli_real_escape_string($verbindung, strip_tags(htmlentities(trim($_GET[$sKey]))));
Sql Injektion
-
denk schon:
PHP
Alles anzeigen$teststring = "name' or `rank` = 'adm'; -- injection "; $sKey = 'key'; $_GET[$sKey] = $teststring; $verbindung = new mysqli("localhost", "*", "*"); $var = mysqli_real_escape_string($verbindung, strip_tags(htmlentities(trim($_GET[$sKey])))); # == name\' or `rank` = \'adm\'; -- injection $teststring = 'name" or `rank` = "adm"; -- injection '; $sKey = 'key'; $_GET[$sKey] = $teststring; $verbindung = new mysqli("localhost", "*", "*"); $var = mysqli_real_escape_string($verbindung, strip_tags(htmlentities(trim($_GET[$sKey])))); # == or `rank` = "adm"; -- injectionAber wieso nicht einfach prepared statements?
EDIT:
Stop!
du brauchst doch vor der escape function nicht nochmal escapen
Code$var = mysqli_real_escape_string($verbindung, trim($_GET[$sKey])); # == name\' or `rank` = \'adm\'; -- injection name" or `rank` = "adm"; -- injection <<<<<<<<<<<<<<<< die hier sind escaped, aber das forum ballerts raus :D
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!