Real escape string
7 naročnikov
7 naročnikov
Spet imam problem zato se obračam na vas :)
Naredil sem formo za registracijo uporabnika, podatke pa vpisujem v MSSQL.
Skrbi pa me varnost.
Kaj uporabit namesto mysqlrealescape_string?
Hvala
20 odgovorov
Weby: Zelo odvisno, kaj potrebujes, ker to res ni nobeno vprasanje.
Kot prvo: Zakaj mysqlrealescapestring ni dober? Ali si mislil mysqlescapestring?
Drugo: ce gre vpis v bazo podatkov, lahko kot "alternativo" uporabis PDOMySQL.
Tretje: Ce hoces filtrirati podatke, potem uporabi PCRE ali pa filter extension. Spet odvisno kaj sploh rabis.
Lahko dobimo podrobnejso razlago tvojega problema?
krho:
kaj pa qverj s parametri? Ker tako bi se tako ali tako moralo programirati...
To spada pod PDO :)
Sicer pa se tako ali tako lahko samo ugiba, o cem je problem, dokler ne dobimo vec informacij...
Ups. Hvala, Vini :]
Za MSSQL server je najbolje da uporabis kar PDO extension:
http://php.net/manual/en/ref.pdo-dblib.php
This extension is not available anymore on Windows with PHP 5.3 or later.
Se pravi, da tudi to ne bo šlo =)
Še najbolj se trenutno nagibam k php filter extension.
nextgen:
Podatke, kot so uporabniško ime, mail, geslo zapišem v MSSQL podatkovno bazo preko metode post.
Weby:
This extension is not available anymore on Windows with PHP 5.3 or later.
Se pravi, da tudi to ne bo šlo =)
Spodaj pod tem besedilom je prav lepo opisano, kaj naj se uporabi namesto tega extension-a.
Najboljsa varjanta je tole: http://www.php.net/manual/en/ref.pdo-sqlsrv.php
ce pa tega ne mores prepricati, da to deluje kot bi moralo, potem se uporabi tole: http://www.php.net/manual/en/ref.pdo-odbc.php
Ce je le mozno, se poizkusi izogniti filtrom, saj ne filtrirajo samega vpisa v bazo in s tem ponujajo varnostno luknjo.