/ Forside / Teknologi / Udvikling / PHP / Nyhedsindlæg
Login
Glemt dit kodeord? 		Brugernavn

Kodeord


Reklame
Top 10 brugere
PHP
#NavnPoint
rfh 3959
natmaden 3372
poul_from 3310
funbreak 2700
stone47 2230
Jin2k 1960
Angband 1743
Bjerner 1249
refi 1185
10  Interkril.. 1146
[php] og kodning af urls
Fra : Jesper Kampfeldt

Dato : 18-03-01 23:06
Hejsa

Jeg har et problem med sende denne kode:


$sql = urlencode("select * from t1 where user='j');
header("Location: http://www.domain.dk/find_dvd.php3?lastq=$sql");

når find_dvd.php3 så køre og jeg skriver lastq ud så står der:

select * from t1 where user=\'j\' og ikke
select * from t1 where user='j' som jeg gerne vil have

hvad er der galt

Jesper



 
 
Kristian Risager Lar~ (18-03-2001)
Kommentar
Fra : Kristian Risager Lar~

Dato : 18-03-01 23:13
> hvad er der galt

Prøv at se på php's stripslashes-funktion
http://www.php.net/manual/en/function.stripslashes.php

--
/Kristian Risager Larsen
Mail: mailto:kezze@kezze.dk ICQ: 14602805



Ghashûl (18-03-2001)
Kommentar
Fra : Ghashûl

Dato : 18-03-01 23:14
On Sun, 18 Mar 2001 23:06:12 +0100, Jesper Kampfeldt
<c973663@student.dtu.dk> wrote:

>Hejsa
>
>Jeg har et problem med sende denne kode:
>
>
>$sql = urlencode("select * from t1 where user='j');
>header("Location: http://www.domain.dk/find_dvd.php3?lastq=$sql");
>
>når find_dvd.php3 så køre og jeg skriver lastq ud så står der:
>
>select * from t1 where user=\'j\' og ikke
>select * from t1 where user='j' som jeg gerne vil have
>
>hvad er der galt
>
>Jesper
>

Jeg vil gætte på du har sat noget til der automatiks escaper
variabler.
Brug stripslashes($lastq); for at fjerne dem.

--
Regards Sir Ghashûl, Knight of The alt.Roundtable <><
ICQ: 7two23six29
E-mail: stefan at bruhn dot to
URL: http://ghashul.dk

Thomas Jespersen (19-03-2001)
Kommentar
Fra : Thomas Jespersen

Dato : 19-03-01 12:12
Jesper Kampfeldt <c973663@student.dtu.dk> writes:

> $sql = urlencode("select * from t1 where user='j');
> header("Location: http://www.domain.dk/find_dvd.php3?lastq=$sql");

Det du laver der er meget risikabelt. Hvad nu hvis jeg misbruger din
find_dvd.php3 til at udføre vilkårlige SQL udtryk ?

Måske skulle logikken i stedet være :

http://www.domain.dk/find_dvd.php3?user=j

Og så koder du dit SQL-udtryk direkte ind i find_dvd.php3

Jonas Delfs (20-03-2001)
Kommentar
Fra : Jonas Delfs

Dato : 20-03-01 21:44
"Thomas Jespersen" <thomas@daimi.au.dk> skrev i en meddelelse
news:y4nk85mqahk.fsf@sabretooth.daimi.au.dk...
> Jesper Kampfeldt <c973663@student.dtu.dk> writes:
>
> > $sql = urlencode("select * from t1 where user='j');
> > header("Location: http://www.domain.dk/find_dvd.php3?lastq=$sql");
>
> Det du laver der er meget risikabelt. Hvad nu hvis jeg misbruger din
> find_dvd.php3 til at udføre vilkårlige SQL udtryk ?

Ja, til fx. www.domain.dk/find_dvd.php3?lastq=delete+from+din_tabel.... ikke
smart.

> Måske skulle logikken i stedet være :
>
> http://www.domain.dk/find_dvd.php3?user=j
>
> Og så koder du dit SQL-udtryk direkte ind i find_dvd.php3



Jesper Kampfeldt (20-03-2001)
Kommentar
Fra : Jesper Kampfeldt

Dato : 20-03-01 22:45

Jonas Delfs <jonas@delfs.dk> skrev i en
nyhedsmeddelelse:998fk5$15o$1@sunsite.dk...
> Ja, til fx. www.domain.dk/find_dvd.php3?lastq=delete+from+din_tabel....
ikke
> smart.

helt enig, men nu har det også bare et eksempel! det kun slutning af
query'en jeg sender,
og det er kun betroede folk der har adgang til scriptet. Men tak for tippet!

Mvh.
Jesper



Søg
Reklame
Statistik
Spørgsmål : 177557
Tips : 31968
Nyheder : 719565
Indlæg : 6408868
Brugere : 218888
Månedens bedste
Årets bedste
Sidste års bedste
Copyright © 2000-2024 kandu.dk. Alle rettigheder forbeholdes.