หน้าเว็บ

วันพุธที่ 28 ธันวาคม พ.ศ. 2554

How to protect against SQL Injection



          เจออยู่นานแล้วคิดว่าเก็บเอามาแปะบล๊อกไว้ดีกว่า เดี๋ยวจะลืมซะก่อน Function แหล่มๆ ไว้กัน SQL Injection นะครับ


GET Method
function mysqlesc($input){ 
$input = str_ireplace('\'', '', $input);
$input = str_ireplace('"', '', $input);
$input = str_ireplace('UNION', '', $input); 
$input = str_ireplace('--', '', $input); 
$input = str_ireplace('/**/', '', $input); 
$input = str_ireplace('/*', '', $input); 
$input = trim($input); 
return $input; 
}
POST Method
function mysqlesc($input){
$input = mysql_real_escape_string($input);
return $input;
}
Ref : http://santoshdudhade.blogspot.com/2011_11_01_archive.html

บทความเพิ่มเติม

Ref : how to bypass function SQLi check ?

ไม่มีความคิดเห็น:

แสดงความคิดเห็น