Hallo,

Kan ik om userinput via een formulier die wordt opgeslagen in een DB te beveiligen, volstaan met mysql_real_escape_string?

Nu:
$value = $_POST['value'];

Straks:
$value = mysql_real_escape_string($_POST['value']);

Voor zover ik weet wel ja.

http://nl2.php.net/manual/en/functio...ape-string.php

Je kan om meerdere manieren beveiligen,
als je iets opslaat in de database gebruik je altijd mysql_real_escape_string.
In dit geval zou je ook nog kunnen controleren wat erin komt, als je bijvoorbeeld alleen cijfers wilt:

PHP Code:

<?php
if(ctype_digit($_POST['value'])){

// ... bekijk php.net voor meer ctype types
}
?>

Als je bijvoorbeeld een bericht van een gebruiker op je website wil posten,
gebruik je meestal htmlspecialchars(), maar dit moet je pas doen als je het uit de database haalt.

PHP Code:

<?php
htmlspecialchars($value);
?>

http://nl2.php.net/manual/en/securit...-injection.php

Deze had ik idd gevonden en hier mn info ook uitgehaald, ik wist alleen niet of ik het goed toepaste. Voordat ik alle formulieren fout aan ga passen :-)

Origineel gepost door Marty H

http://nl2.php.net/manual/en/functio...ape-string.php

ALTIJD mysql_real_escape_string! nooit zonder, of addslashes, alleen mysql_real_escape_string is echt veilig! Daarnaast kan je ook nog dit doen:
if ( $_SERVER['REQUEST_METHOD'] == 'POST' &&
isset($_POST['string'], $_POST['string2']))
{
ter beveiliging van het uitvoeren van het script door bots

Veilige web applicaties heb je zelf in de hand.

Standaard geen invoer van de gebruiker vertrouwen zelfs de $_SERVER array niet, heeft wat waardes die je niet kan vertrouwen aangezien die veranderd kunnen worden door gebruikers.

Verder moet je nog oppassen met session riding, cross site scripting en remote php includes.

Of je stapt gewoon over naar PDO, hoef je ook geen mysql_real_escape_string(); te gebruiken. En handig voor als je naar een andere type database overstapt. Hoef je alleen de Query aan te passen i.p.v. code te moeten herschrijven.