Sikkerhed fra post og get

1.
  $variabel = mysql_real_escape_string($_GET["hilsen"]);
  mysql_query("INSERT INTO <tabel> (property, property ..) VALUES(NULL, $variabel);
  Dette skulle være nok, også til POST.

2. Jeg vil anbefale at du kræver en kode via GET eller POST.
  if($_GET["hemmelig_kode"] == "firs_d_100_60") {
    // Slet databasen her
  } else {
    print "Hov hov, her har du ikke adgang!";
  }

  Og så sletter du databasen via http://din_host/dit_script.php?hemmelig_kode=firs_d_100_60

Disse to artikler skulle hjælpe lidt med din tvivl :-)

http://en.wikipedia.org/wiki/SQL_injection
http://unixwiz.net/techtips/sql-injection.html

Eller gå over til mysqli og bruge prepare/bind/execute - så slipper du for at skulle escape ;)

2. Man skal vel være logget ind for at slette. Dvs du kan kontrollere i en sessionsvariabel, at man er logget, og at man har lov til at slette den pågældende post, inden den bliver slettet.

Er der ikke en dansk guide for mysqli ?

Hej

Tak for de mange svar

1: Betyder det at mysql_real_escape_strings er nok at bruge eller skal der samtidige benyttes trim, add_slashes eller en anden?

2: Dvs hvis der blot er et tjek på om en session eksisterer, som sender dig til en anden side hvis de ikke gør - f.eks. med javascript , så vil bots ikke kunne komme uden om det og alligevel kører koden.
Er det korrekt forstået?

Stadig nogle her?

Vedr. 1: Der anbefales at bruge mysqli med parameters (prepare/bind/execute) for at indsætte værdier i SQL-sætninger. Manuel escaping af tekststrenge er gammeldags.

Vedr. 2: Har du læst min kommentar i #4?

Dem der vil have point som har svaret må gerne skrive svar

Lukker ned