Fjern ' i alle GET input

du kan løbe $_GET-arrayet igennem og gøre det ved alle på den måde...

Hvordan gør du det ?

Og tak for hurtig svar ;-)

foreach($_GET as $key){
  $key = str_replace("'", "", $key);
}

Kunne man om muligt blive informeret om formålet?

Vi har været udsat for sql injection på $_GET

Fx. $_GET[username]

Og har derfor lavet den her kode

$_GET[username] = str_replace("'", "", $_GET[username]);

Osv. osv.

Men vi har rigtig mange variabler og det er derfor svært at været sikker på at man har fået dem alle med.

Jeg har lige teste

foreach($_GET as $key){
  $key = str_replace("'", "", $key);
}

Og den virker problemet er bare at den kalder alle variabler for $key

hvis det er derfor vil jeg da foreslå enten prepared statements med mysqli, eller mysql_real_escape (eller hvad de nu hedder - bruger kun mysqli, så kan sq ikke huske de andre :s)

Vi har før brugt den her

$_GET      = ( isset ( $_GET )    ) ? @array_map("mysql_real_escape_string", $_GET)      : '';

Men den tager det ikke ;-)

Jeg tænkte nok det var sådan noget... så er der bedre alternativer, som splazz nævner, som også sikrer jer bedre...
Så det var da godt vi fik det frem i lyset...

husk at der skal være en åben dataforbindelse før mysql_real_escape_string kaldes

MySQL dataforbindelse er åben inden vi bruger
$_GET      = ( isset ( $_GET )    ) ? @array_map("mysql_real_escape_string", $_GET)      : '';

Men den fjerner ikke '

connection();
foreach($_GET as $key => $value){
    $$key = mysql_real_escape_string($value);
}
disconnect();

Jeg har fundet en løsning ;-)

I min løsning indgår dele af splazz kode derfor syns jeg han skulle ligge et svar ;-)

1000 tak for hjælpen også til jer andre...

#12: af sikkerhedsgrunde vil jeg anbefale dig at bruge mysql_real_escape_string(); i stedet for bare at fjerne apostrof ;)

#13
Det kom vi egentlig frem til for nogle indlæg siden?

#14
Det er jeg så udemærket klar over, men når netslottet_com skriver, at han bruger noget af splazz's kode, og det eksempel han kommer med, ikke g'r brug af mysql_real_escape_string(), ville jeg bare pointere det ;)

Jeg ved ikke om det er fordi der er noget galt med den her php kode som vi bruger men den fjerner ihvertfald ikke '


$_GET      = ( isset ( $_GET )    ) ? @array_map("mysql_real_escape_string", $_GET)      : '';


Derfor skulle jeg bruge noget som kunne fjerne '

$_GET = (isset($_GET) ? @array_map('mysql_real_escape_string', $_GET) : '');

Erh, det er heller ikke meningen at den skal fjerne ' :) - Den sørger bare for, at du kan sætte den streng ind i databasen, uden at der skulle kunne opstå SQL injection :)

#18

Er du sikker på at de ikke kan lave sql injection hvis jeg bruger den kode ?

Er det fordi at der stod " og ikke ' at det ikke virket ?

#19

"Note:

If this function is not used to escape data, the query is vulnerable to SQL Injection Attacks."

taget fra http://php.net/manual/en/function.mysql-real-escape-string.php

#19
Jeg vil anbefale dig at google lidt mere på konceptet bag SQL injection. Din oprindelig løsning er sådan set god nok, men så er det temmelig sikkert ikke der det reelle problem ligger.

SQL injection består af meget mere end problemer med single quotes.
Det bedste forsvar ville faktisk være at angribe problemerne der hvor de kan opstå efter den metode som nu er bedst tilgængelig.

Valider dine brugeres input i stedet for at lade rå GET eller POST variabler indgå i dine SQL forespørgsler.

mysql_real_escape_string() er ikke en bulletproof løsning - den kan meget, men der er andre ting som du skal være lige så opmærksom på.

#21 Det har du fuldstændig ret i ;-)

Dem som ønsker point lægger bare et svar.

Og endnu en gang tak

svar...