CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede elefant Juniormester
27. oktober 2017 - 20:55 Der er 8 kommentarer

Indsætte række i en MySQL database med MySQLi

Er dette den korrekte måde at indsætte række i en MySQL database med MySQLi?

$conn = new mysqli($db_host, $db_user, $db_pass, $db_name);

if ($conn->connect_error) {
    die("Connection failed: " . $conn->connect_error);
}

if (isset($_POST['text']))
$text = $_POST['text'];
else
$text = "";

$text = $conn->real_escape_string($text);

$sql = "INSERT INTO mytable (information) VALUES ('".$text."')";

if ($conn->query($sql) === TRUE) {
    echo "Database updated successfully" . "<br><br>";
} else {
    echo "Error: " . $conn->error . "<br><br>";
}

$conn->close();
Avatar billede arne_v Ekspert
27. oktober 2017 - 21:08 #1
Nej.

Drop escape og brug prepared statement.
Avatar billede elefant Juniormester
27. oktober 2017 - 21:12 #2
#1 Jeg har prøvet at se på det, men det ser meget svært ud.

Og koden bliver meget svær at gennemskue, eller er det bare mig der gør det forkert?
Avatar billede arne_v Ekspert
27. oktober 2017 - 21:27 #3
Jeg synes ikke at det er saa slemt.

Eksempel:

http://www.vajhoej.dk/arne/articles/phpdb.html#mysqli_oo
Avatar billede elefant Juniormester
27. oktober 2017 - 21:42 #4
Ja det ser ikke så svært ud.

Men så mangler jeg lige at finde ud af hvordan man undgår SQL injection, hvis man bruger prepared statement.
Avatar billede Slater Ekspert
27. oktober 2017 - 21:49 #5
Det behøver du ikke længere.

Injections sker fordi du normalt sender hele instruktionen til SQL enginen som en streng, hvor visse tegn betyder nogle bestemte ting. Hvis brugeren efterligner de tegn, kan det opfattes som instruktioner i stedet for værdier, fordi når det bare er en streng, aner serveren ikke hvad der kommer fra brugeren og hvad der er fra koden.

Når du bruger prepared statements, sender du kun instruktionerne som en streng, og værdierne helt separat fra denne, så serveren ikke er i tvivl om hvad der er hvad. Derfor er injections ikke længere et umiddelbart problem.
Avatar billede elefant Juniormester
27. oktober 2017 - 22:05 #6
#5 Nu har jeg ikke afprøvet det. Men vil det sige at man ikke behøver at gøre noget for at beskytte sig mod dette?

' or '1'='1
Avatar billede Slater Ekspert
28. oktober 2017 - 00:08 #7
#6: Ja. Grunden til at det normalt skaber problemer, er at det bliver sendt som én streng med både instruktioner og værdier i, og ' derfor kan opfattes som afslutningen på en værdi, selvom det efterfølgende er en del af værdien.
Med prepared statements er værdier ikke begrænset af anførselstegn eller noget andet tegn. De sendes helt separat til databaseserveren.
Avatar billede arne_v Ekspert
28. oktober 2017 - 00:53 #8
http://www.vajhoej.dk/arne/articles/prepparam.html

har en laengere forklaring omkring det. Og flere mysqli eksempler.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Webudvikling kurser
Vi tilbyder markedets bedste kurser inden for webudvikling
Se alle Webudvikling kurser

Flere spørgsmål fra PHP kategorien

Titel Indlæg Oprettet Seneste aktivitet
Datafordeler Af Lsk i PHP 2 01/11/202422:00 02/11/202409:30
Datoformat ved eksport til Excel Af dane022 i PHP 8 17/09/202414:48 30/09/202419:55
Hjælp til PHP ( mener jeg det hedder) Af lurup i PHP 0 12/09/202423:39 -
wp_delete_user virker ikke i Wordpress Af Ravnsen i PHP 2 21/08/202417:53 21/08/202422:03
php driller Af moscov i PHP 1 19/08/202415:09 20/08/202421:24
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 20:49 pop up black friday Af Malm i Virus
I går 18:31 Hvor finder jeg en netværksdriver? Af jcr18 i Wifi
I går 16:49 Identificér og hent del af tekststreng Af TheLibrarian i Excel
I går 16:30 Smart vægt til fitness tracking Af Henrik i Fitness & Smartwatches
I går 08:08 touchpad virker ikke Af Malm i PC
White papers
Flere white papers »


Premium
Teaser billede
Vil købe tele-løsninger til det offentlige for 370 millioner kroner
Læs mere »
Efterspørgslen på AI-regnekraft er enorm - og det smitter af på priserne: "Vi kan sælge næsten alt, hvad vi får ind"
Nyt værtøj fra Microsoft: Snart kan du reparere nedbrudte Windows-enheder på distancen
Politiet skriver kontrakt på 75 millioner kroner med dansk it-firma: Medarbejdere skal flytte ind hos politiet
Se alle »
Computerworld
Teaser billede
Microsofts nye pc er ekstrem billig – men kan blive ekstrem sikker og fleksibel
Læs mere »
Test: Prøv kun disse B&O-hovedtelefoner, hvis du har råd
Kæmpe datalæk på hospital: 750.000 patienters fortrolige data lækket
Test: Audi Q6 er en super fed SUV - men gør dig selv en tjeneste og kast flere penge efter den
Se alle »
CIO
Teaser billede
Konsulenthus vil rulle Microsoft 365 Copilot ud til 200.000 ansatte
Læs mere »
Kæmpe-opgave for Danske Bank har banet vej for fuldautomatiseret migrering til cloud: Nu udbredes metoden i hele AWS
Stor sag mod Microsoft kan være på vej: Beskyldes for at låse Azure-kunder fast med ulovlige metoder
Microsofts store årlige event: De tre vigtigste nøglebudskaber fra Satya Nadella om Microsofts fremtid
Se alle »
Job & Karriere
Teaser billede
Microsoft klar med ny direktion for den danske forretning: Her er de nye direktører
Læs mere »
Efter skelsættende møde med sportscoach: Stor dansk it-arbejdsplads indfører fredags-fri og isbade i arbejdstiden
Linus Torvalds giver russiske Linux-udviklere sparket: Vil ikke have noget med dem at gøre
Tre Norlys-topchefer fratræder med omgående virkning: Internet-forretningen er udfordret - vil have mere fart i integrationen af Telia Danmark
Se alle »
White paper
Teaser billede
SAP: Skab værdi og minimér omkostninger med effektiv dokumenthåndtering
Læs mere »
Sikkerhed uden grænser: Cisco Hypershield
MDR: Transparent sikkerhed og overvågning i realtid
Sæt turbo på din cloudperformance og minimér risikoen for DDoS-angreb
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »