|שאלה| {PHP + MYSQL} שאילתה - הוסטס

~~NoMore~~ · 20-08-07, 14:24

היי
מה mysql_escape_string/mysql_real_escape_string עושה?
לא הצלחתי להבין מה PHP.NET :\

RS324 · 20-08-07, 14:30

עושה את אותה פעול כמו mysql_escape_string פשוט הוא משתמש בהגדרות של השפה של ה MYSQL

~~NoMore~~ · 20-08-07, 15:14

ומה mysql_escape_string עושה? (התכונתי לשניהם בהודעה)

ASTeam · 20-08-07, 17:31

mysql_escape_string
מוסיף \ לפני '
שזה בעצם מסנן פקודות וכו' של המסד

~~HighA~~ · 20-08-07, 20:26

גם אני אף פעם לא הבנתי :\
זה לא כמו לעשות htmlspacialchars?

ASTeam · 21-08-07, 08:06

לא..
html חוסם פקודות HTML
סתם דוג' יש אפשרות של הוספת דפים?
אז בשם הדף(שיהיה גם הלינק הדינאמי) יעשו
<a href="xx"> שם הדף </a>
והלינק שיוצג יקושר לשם...

לעומת זה ה
mysql_escape_string
מסנן פקודות שנועדו לשרת
נגיד הרשמת משתמשים? אז בסיסמא אדם יכול לכתוב את כל השאילתה שוב..ואז זה יבנה שני שאילתות(חח אם לא הבנת אני אסביר יותר טוב..)

~~NoMore~~ · 21-08-07, 08:22

לא ממש הבנתי
אפשר דוגמא לשימוש בזה גם?

ASTeam · 21-08-07, 08:32

אני כמעט בטוח שזה זה...(אם זה טעות נא לתקן אותי..)
זו שאילתה רגילה -

PHP קוד:


			
INSERT

        INTO   users (reg_username,

                      reg_password,

                      reg_email)

        VALUES ('{$_POST['reg_username']}',

                '$reg_password',

                '{$_POST['reg_email']}')";

נכון?
עכשיו נגיד שבאחד האינפוטים(input) אני אשים את זה -

PHP קוד:


			
bad_guy', 'mypass', ''), ('good_guy

מה יצא?
השאילתה הבא -

PHP קוד:


			
        INTO   users (reg_username,

                      reg_password,

                      reg_email)

        VALUES ('bad_guy', 'mypass', ''), ('good_guy',

                '1234',

                'shiflett@php.net')";

שמת לב מה קרה? הכנסו שני שאילתות במקום אחת..
אם אני יעשה ככה מיליונים? השרת יפול.

לעומת זו עם הפונק הנ"ל אנחנו חוסמים את " ' " ואין את הפאשרות הזו.
מקווה שעזרי ;-) ותקנו אותי אם אני טועה..

השאילתות לקוחות מphpsec.org

**Daniel** · 21-08-07, 09:15

ב-TT0 יש דוגמה מצויינת,

ולא, השרת לא יקרוס, הוא יהיה בסדר באותה המידה כמו שעשית שאילתה רגילה.

http://www.trythis0ne.com/levels/rea...TT0F/index.asp
זה ב-ASP, אבל העיקרון דומה.
נסו לקבל גישת מנהל בפורום.
(זה המטרה של זה),
ב-http://www.trythis0ne.com יש עוד המון אתגרים.

(זה לא פירסום אתר או משו-מי יעבור לשם?)

~~NoMore~~ · 21-08-07, 10:17

או קיי, הבנתי מה זה עושה
אבל איך משתמשים בזה?
אני מריץ את זה על השאילתה ואז עושה mysql_query או זה גם מחליף את הmysql_query
ומה עדיף?
mysql_escape_string או mysql_real_escape_string ?

20-08-07, 14:24	# 1
~~NoMore~~ מתאורר / יצא בחוץ מיני פרופיל תאריך הצטרפות: Jul 2006 הודעות: 54	\|שאלה\| {PHP + MYSQL} שאילתה היי מה mysql_escape_string/mysql_real_escape_string עושה? לא הצלחתי להבין מה PHP.NET :\ Last edited by NoMore; 20-08-07 at 15:14..

20-08-07, 14:30	# 2
RS324 תודה על תרומתך. מיני פרופיל תאריך הצטרפות: May 2006 הודעות: 3,173	עושה את אותה פעול כמו mysql_escape_string פשוט הוא משתמש בהגדרות של השפה של ה MYSQL __________________ כלים לקידום אתרים בלוג PHP למתקדמים

20-08-07, 17:31	# 4
ASTeam חבר מתקדם מיני פרופיל תאריך הצטרפות: Jun 2006 הודעות: 580	mysql_escape_string מוסיף \ לפני ' שזה בעצם מסנן פקודות וכו' של המסד __________________

21-08-07, 08:06	# 6
ASTeam חבר מתקדם מיני פרופיל תאריך הצטרפות: Jun 2006 הודעות: 580	לא.. html חוסם פקודות HTML סתם דוג' יש אפשרות של הוספת דפים? אז בשם הדף(שיהיה גם הלינק הדינאמי) יעשו <a href="xx"> שם הדף </a> והלינק שיוצג יקושר לשם... לעומת זה ה mysql_escape_string מסנן פקודות שנועדו לשרת נגיד הרשמת משתמשים? אז בסיסמא אדם יכול לכתוב את כל השאילתה שוב..ואז זה יבנה שני שאילתות(חח אם לא הבנת אני אסביר יותר טוב..) __________________

21-08-07, 08:32	# 8
ASTeam חבר מתקדם מיני פרופיל תאריך הצטרפות: Jun 2006 הודעות: 580	אני כמעט בטוח שזה זה...(אם זה טעות נא לתקן אותי..) זו שאילתה רגילה - PHP קוד: `INSERT INTO users (reg_username, reg_password, reg_email) VALUES ('{$_POST['reg_username']}', '$reg_password', '{$_POST['reg_email']}')";` נכון? עכשיו נגיד שבאחד האינפוטים(input) אני אשים את זה - PHP קוד: `bad_guy', 'mypass', ''), ('good_guy` מה יצא? השאילתה הבא - PHP קוד: `INTO users (reg_username, reg_password, reg_email) VALUES ('bad_guy', 'mypass', ''), ('good_guy', '1234', 'shiflett@php.net')";` שמת לב מה קרה? הכנסו שני שאילתות במקום אחת.. אם אני יעשה ככה מיליונים? השרת יפול. לעומת זו עם הפונק הנ"ל אנחנו חוסמים את " ' " ואין את הפאשרות הזו. מקווה שעזרי ;-) ותקנו אותי אם אני טועה.. השאילתות לקוחות מphpsec.org __________________


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

20-08-07, 15:14	# 3
~~NoMore~~ מתאורר / יצא בחוץ מיני פרופיל תאריך הצטרפות: Jul 2006 הודעות: 54	ומה mysql_escape_string עושה? (התכונתי לשניהם בהודעה)

20-08-07, 20:26	# 5
~~HighA~~ מתאורר / יצא בחוץ מיני פרופיל תאריך הצטרפות: Nov 2005 גיל: 33 הודעות: 833	גם אני אף פעם לא הבנתי :\ זה לא כמו לעשות htmlspacialchars?

21-08-07, 08:22	# 7
~~NoMore~~ מתאורר / יצא בחוץ מיני פרופיל תאריך הצטרפות: Jul 2006 הודעות: 54	לא ממש הבנתי אפשר דוגמא לשימוש בזה גם?

21-08-07, 09:15	# 9
Daniel אחראי פורום מיני פרופיל תאריך הצטרפות: Mar 2007 הודעות: 2,875	ב-TT0 יש דוגמה מצויינת, ולא, השרת לא יקרוס, הוא יהיה בסדר באותה המידה כמו שעשית שאילתה רגילה. http://www.trythis0ne.com/levels/rea...TT0F/index.asp זה ב-ASP, אבל העיקרון דומה. נסו לקבל גישת מנהל בפורום. (זה המטרה של זה), ב-http://www.trythis0ne.com יש עוד המון אתגרים. (זה לא פירסום אתר או משו-מי יעבור לשם?)

21-08-07, 10:17	# 10
~~NoMore~~ מתאורר / יצא בחוץ מיני פרופיל תאריך הצטרפות: Jul 2006 הודעות: 54	או קיי, הבנתי מה זה עושה אבל איך משתמשים בזה? אני מריץ את זה על השאילתה ואז עושה mysql_query או זה גם מחליף את הmysql_query ומה עדיף? mysql_escape_string או mysql_real_escape_string ?

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)