Ubuntu Sverige

Forum för Ubuntus svenska gemenskap
https://ubuntu-se.servebbs.org/

Sanitera strängar i PHP som ska användas i SQL-anrop

https://ubuntu-se.servebbs.org/viewtopic.php?t=51375

Sida 1 av 1

Sanitera strängar i PHP som ska användas i SQL-anrop

Postat: 31 okt 2010, 21:13
av m!rage
Jag har input från ett HTML-formulär som ska ingå ett SQL-anrop, därför vill jag sanitera bort allt som inte är alfanumeriska tecken.
Har följande mycket enkla exempel:

Kod: Markera allt

<html>
<body>

<?php
$string = filter_input(INPUT_GET, 'string', FILTER_SANITIZE_STRING, FILTER_FLAG_STRIP_LOW);
echo $string;
?>

</body>
</html>
När jag sedan går in på http://localhost/index.php?string=foo1<b>_'); tas bara html-taggen bort, resultatet blir alltså

Kod: Markera allt

foo1_');
Varför blir det så?

EDIT: Lite dum fråga kom jag på efter att ha kollat i en ASCII-tabell. Men hur gör jag för att ta bort alla tecken utom bokstäver och siffror? Finns det något inbyggt filter för det?

Re: Sanitera strängar i PHP som ska användas i SQL-anrop

Postat: 02 nov 2010, 22:56
av m!rage
Har forskat lite i saken nu. Rätta mig om jag har fel nu, men det jag kommit fram till är:
Data som körts genom mysql_real_escape_string() anses säkert att användas i SQL-anrop?
och:
Data som körts genom filter_input(INPUT_GET/POST, 'x', FILTER_SANITIZE_STRING) anses säkert att visas på html-sidan?
Stämmer detta?
Alla tidsangivelser är UTC+02:00 UTC+2
Sida 1 av 1

Powered by phpBB® Forum Software © phpBB Limited

Swedish translation by phpBB Sweden © 2006-2015