---

I forbindelse med en søgefunktion, er jeg blevet rådet til at anvende
addslashes() på min søgestreng.

Hvad gør den ? - og er der andre ting jeg bør gøre ? og påvirker det min
søgning ?

Mvh
Bo

---

On Fri, 20 Dec 2002 18:02:25 +0100, Bo Rattenborg wrote:

> I forbindelse med en søgefunktion, er jeg blevet rådet til at anvende
> addslashes() på min søgestreng.

Lad os antage at PHP modtage følgende streng fra en formular:

   "I'm to sexy for my shirt"

Det er ret klart at hvis du direkte sætter den ind i en database, eller
gør noget andet vil du få en fejl:

   INSERT INTO foo (bar) VALUES ('I'm to sexy for my shirt')

Derfor har PHP en vane med at prefixe visse karakterer med \ for at escape
dem. Din streng ser derfor sådan ud:

   "I\'m to sexy for my shirt"

På denne måde kan du snildt bruge den i MySQL:

   INSERT INTO foo (bar) VALUES ('I\'m to sexy for my shirt')

Dog skal man så være opmærksom på at når man hiver tingene ud af databasen
igen skal man fjerne backslashen (da det jo ikke er videre kønt når man
skal læse det). Dette gøres, som du nok har gættet, med strip_tags:

   print strip_tags("I\'m to sexy for my shirt");
   -> I'm to sexy for my shirt

Jeg håber det hjalp.

--
Christian Jørgensen | If you need a screwdriver,
http://www.razor.dk | use the general purpose hammer.

---

On Mon, 23 Dec 2002 16:23:58 +0100, "Christian Joergensen"
<mail@phpguru.dk> wrote:

>Derfor har PHP en vane med at prefixe visse karakterer med \ for at escape
>dem. Din streng ser derfor sådan ud:
>
>   "I\'m to sexy for my shirt"
>
>På denne måde kan du snildt bruge den i MySQL:
>
>   INSERT INTO foo (bar) VALUES ('I\'m to sexy for my shirt')
>
>Dog skal man så være opmærksom på at når man hiver tingene ud af databasen
>igen skal man fjerne backslashen (da det jo ikke er videre kønt når man
>skal læse det). Dette gøres, som du nok har gættet, med strip_tags:

I ovenstående INSERT bliver back-slashen slet ikke indsat i databasen.
Den fortæller så at sige bare at den ' som følger lige efter \ skal
opfattes som en del af strengen og ikke som om at strengen ender.

Derfor skal (behøver) man ikke at køre en stripslashes() når man igen
henter teksten ud fra databasen.

--
Mads Lie Jensen - mads@gartneriet.dk - ICQ #25478403
http://www.gartneriet.dk
Lær af andres fejl
- du lever alligevel ikke længe nok til selv at prøve dem alle.

---

Ok.
Jeg fik rådet da jeg spurgte om sikkerhed vedr. søgning i en database, men
det ser ikke ud til at have nogen speciel betydning vedr. sikkerhed. Jeg har
tænkt mig at slette ordene 'delete', 'drop' fra søgestrengen for at undgå
'misbrug' af søgningen. Er der andre muligheder eller ting jeg bør gøre ?

Mvh
Bo

---

Bo Rattenborg wrote in <3e0c5f3a$0$2552$ba624c82@nntp04.dk.telia.net>:
>> "I'm to sexy for my shirt"
>> INSERT INTO foo (bar) VALUES ('I'm to sexy for my shirt')
> Jeg fik rådet da jeg spurgte om sikkerhed vedr. søgning i en database, men
> det ser ikke ud til at have nogen speciel betydning vedr. sikkerhed.


Søgestreng: '); DELETE FROM table ;
=>
INSERT INTO foo (bar) VALUES (''); DELETE FROM table ; ')

Giver to fejl, og sletter al data i den valgte tabel.
Man kan altså indsætte lige præcis de SQL-kommandoer man har lyst til.

Så jo, det har også noget med sikkerhed at gøre, selv hvis vi ikke tæller
"drift-sikkerhed" med. :)

--
Mvh.

Niels Andersen
(la nels. anersyn.)