mysql_real_escape_string funktioniert nicht wie es soll.. [Archiv]

Archiv verlassen und diese Seite im Standarddesign anzeigen : mysql_real_escape_string funktioniert nicht wie es soll..

Gast

2008-01-23, 02:19:18

$sql="SELECT votes FROM tb WHERE id=".mysql_real_escape_string($_GET['id']);

tja das nützt aber rein garnix, den wenn man jetzt z.B. per
test.php?id=5 OR 1=1 eine Injection versucht, funktioniert das immernoch wunderbar...wie baue ich das mysql_real_escape_string hier ein, damit es auch funktioniert?

Coda

2008-01-23, 02:38:59

Hast du vorher eine MySQL-Verbindung aufgebaut?

Bei einer Integer-id tut's übrigens auch einfach (int)$_GET['id']

JTHawK

2008-01-23, 10:48:32

grundsätzlich sollte man immer mit hochkommas arbeiten:

$sql= "SELECT votes FROM tb WHERE id='".mysql_real_escape_string($_GET['id'])."'";

Gast

2008-01-23, 12:41:02

grundsätzlich sollte man immer mit hochkommas arbeiten:

$sql= "SELECT votes FROM tb WHERE id='".mysql_real_escape_string($_GET['id'])."'";

danke daran lags! die verflixten hochkommas fehlten!