Mysql injection

[Dimie1]

Wie kan mij verder helpen?
Ik ben opzoek naar tips om mysql injection uit te sluiten.

Ik maak gebruik van; SELECT, DELETE, INSERT en UPDATE mysql query's.

Nu heb ik bij de laatst genoemde (INSERT en UPDATE) al wel iets toegepast.
Namelijk het volgende:

mysql_query("INSERT INTO user VALUES ('','" . mysql_real_escape_string($u_name) . "','" . mysql_real_escape_string($u_pw) . "','" . mysql_real_escape_string($u_firstname) . "','" . mysql_real_escape_string($u_lastname) . "','" . mysql_real_escape_string($u_properties) . "')");

mysql_query("UPDATE user SET u_firstname='" . mysql_real_escape_string($u_firstname) . "',u_lastname='" . mysql_real_escape_string($u_lastname) . "',u_properties='" . mysql_real_escape_string($u_properties) . "' WHERE u_name='" . mysql_real_escape_string($u_name) . "'");

 

[klaaspeter]

Hiermee heb je het probleem van mysql injectie opgelost. Maar je gebruikt nog een oude van mysql. Ik zou je graag willen adviseren om mysqli of pdo te gebruiken.

Hier meer info over mysqli : http://php.net/manual/en/book.mysqli.php
hier mee info over pdo:http://php.net/manual/en/book.pdo.php

Daarnaast ben je nu nog niet optimaal beveiligd zo ver ik kan zien.

maak je ook gebruik van htmlentities?
zo niet lees hier meer:
http://php.net/manual/en/function.htmlentities.php

Dit is begin om je beter te beveiligen maar zeker niet het eind!