SQL injection

[slabbetje]

Beste helpers,

Ik ben nu bezig met een website en die moet gewoon 99% veilig alleen nu vroeg ik me af hoe veilig is de mysqli_escape_string functie want ik gebruik het wel vaker alleen ik kan niet echt vinden wat de veiligheid ervan is...
Ik kom ook elke keer op dezelfde pagina's uit op google waar alleen de uitleg van de functie word beschreven en niet wat er bijvoorbeeld wel en niet word toegelaten zodat ik dat naderhand weer kan afvangen

Edit
Wanneer magic_quotes aan staan worden trouwens ook eerst de slashes gestript...

Alvast bedankt voor de hulp,

Michael

 

[Frats]

Magic quotes wordt sterk afgeraden, deze functie wordt binnenkort uit PHP gehaald voor zover ik gehoord heb.

mysqli_escape_string is 100% veilig. Als je die aanroept over je user variabelen voor je ze in de query zet, dan is het zeker weten goed. Het gevaar zit hem in er voor zorgen dat je die altijd aanroept, vandaar dat je beter zelf een functie kunt schrijven die een query voor je opbouwt en dit automatisch doet.

 

[slabbetje]

Ja ik heb een eigen framework geschreven waar hij automatisch inzit
Ik hoef bewijs van spreken gewoon alleen maar in te voeren: $Site -> databaseHandler -> Query();

Verder word de url automatisch ook afgevangen wanneer er bijvoorbeeld een ' in de url staat word de database connectie automatisch geweigerd en krijg je een melding aangezien ik zulke tekens nooit in een url gebruik

En ik gebruik geen get functie maar alles word vanuit de url geregeld net zoals dat je mappen benaderd zegmaar: http://url.com/admin/edit_user

alleen ik wou gewoon weten in hoeverre hij veilig is omdat ik wel heb gelezen dat de null byte ofzo gewoon word toegelaten en magic quotes staat gewoon uit maar mocht hij aanstaan worden de slashes gewoon gestript