Wat is de beste manier om sql injection tegen te gaan
ik vond dit

PHP Code:

function quote_smart($value) {
if (get_magic_quotes_gpc()) {
$value = stripslashes($value);
}
if(version_compare(phpversion(),"4.3.0") == "-1") {
return mysql_escape_string($value);
} else {
return mysql_real_escape_string($value);
}
} 


en om de meeste proxy,s te te houden dit

PHP Code:

RewriteEngine on
RewriteCond %{HTTP:VIA}                 !^$ [OR]
RewriteCond %{HTTP:FORWARDED}           !^$ [OR]
RewriteCond %{HTTP:USERAGENT_VIA}       !^$ [OR]
RewriteCond %{HTTP:X_FORWARDED_FOR}     !^$ [OR]
RewriteCond %{HTTP:PROXY_CONNECTION}    !^$ [OR]
RewriteCond %{HTTP:XPROXY_CONNECTION}   !^$ [OR]
RewriteCond %{HTTP:HTTP_PC_REMOTE_ADDR} !^$ [OR]
RewriteCond %{HTTP:HTTP_CLIENT_IP}      !^$
RewriteRule ^(.*)$ - [F] 


Wat raden de experts aan
mvg Mark

Om SQL-injectie tegen te gaan, voer je op elke $_GET, $_POST, eeniedere door users gegenereerde input, een mysql_real_escape_string uit. De functie die je aanhaalt zit ietwat vreemd in elkaar.

en hoe blokkeer je de meeste proxy,s

Waarom wil jeproxy's tegenhouden? meeste mensen vanaf school/werk werken via proxy?

Gewoon prepared statements gebruiken.
Geen enkel risico op sql injecties.

Edwin R,

Bij vele online games wordt dat juist gebruikt om te cheaten he.

Interresant, ik ben benieuwd voor de proxys!

Origineel gepost door michiel v

Gewoon prepared statements gebruiken.
Geen enkel risico op sql injecties.

voorbeeld a.u.b
Aanvullend bericht:

Origineel gepost door Edwin R

Waarom wil jeproxy's tegenhouden? meeste mensen vanaf school/werk werken via proxy?

nou omdat ze via proxy,s van alles proberen

Ik heb mijn Mysqli Class zo gebouwd dat ik ,mbv de mysqli prepared statements, dit kan doen:

PHP Code:

//$db=database class
$db->query('INSERT INTO zever (lol,bol,bob) VALUES (?,?,?)','iss',array($lol,$bol,bob));
//'iss' staat voor integer-string-string
//Of een select,update,... 


De query wordt nu zonder enig gevaar voor sql injecties uitgevoerd.
Neem dit+deftige code+iets tegen XSS, en je hebt een app die redelijk goed is.

Ik gebruik altijd deze functie tegen sql injections en xss:

PHP Code:

if (!function_exists("SQLCheckInput")) {
 
function SQLCheckInput($theValue, $theType, $theDefinedValue = "", $theNotDefinedValue = "") 
{
if($theType!="html"){
$theValue = htmlentities($theValue);
}
$theValue = get_magic_quotes_gpc() ? stripslashes($theValue) : $theValue;
 
$theValue = function_exists("mysql_real_escape_string") ? mysql_real_escape_string($theValue) : mysql_escape_string($theValue);
 
switch ($theType) {
case "text":
case "html":
$theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL";
break;
case "long":
case "int":
$theValue = ($theValue != "") ? intval($theValue) : "NULL";
break;
case "double":
$theValue = ($theValue != "") ? "'" . doubleval($theValue) . "'" : "NULL";
break;
case "date":
$theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL";
break;
case "defined":
$theValue = ($theValue != "") ? $theDefinedValue : $theNotDefinedValue;
break;
}
return $theValue;
}
} 


PHP Code:

//voorbeeld:
$q = sprintf("SELECT * FROM foo WHERE id=%d",SQLCheckInput($_GET['foo'],"int"));
$rResult = mysql_query($q,$connection);