Атака с использованием SQL-инъекции
Как мне защитить свой сайт от атак SQL-инъекций? Я использую PHP и mysql. Должен ли я изменить свой запрос mysql?
Например, у меня есть один такой запрос:
<?php
$q=$_GET["q"];// im getting the Q value from the other form,from drop down box[displaying data using Ajax
$a1=$_POST['hosteladmissionno'];
$a2=$_POST['student_name'];
$a3=$_POST['semester'];
$con = mysql_connect('localhost', 'root', '');
if (!$con)
{
die('Could not connect: ' . mysql_error());
}
mysql_select_db("hostel", $con);
$a1="SELECT hosteladmissionno,student_name,semester FROM registration
WHERE mess_type ".$q."' AND status_flag=1";
$result = mysql_query($a1);
if ($result === false) {
die(mysql_error());
}
echo "<table border='1' width=80%>
<tr>
<th width=5%> S.No</th>
<th width=10%>H.Admin No</th>
<th width=10%>Student Name</th>
<th width=5%>No of Days</th>
</tr>";
$i=0;
while($row = mysql_fetch_array($result))
{
$i=$i+1;
echo "<tr>";
echo "<td align=center>" .$i."</td>";
echo "<td size=10 align=center>" . $row['hosteladmissionno'] . "</td>";
echo "<td size=35 align=center>" . $row['student_name'] . "</td>";
echo "<td align=center> <input type='text' name='days' size=2> </td> ";
echo "</tr>";
}
echo "</table>";
mysql_close($con);
?>
Нужно ли мне вносить какие-либо изменения в свой запрос, чтобы избежать атак с использованием инъекций? Любые предложения были бы полезны. Заранее спасибо. Ура!
5
задан Coolbreeze 29 March 2011 в 06:28
поделиться
0 ответов
Другие вопросы по тегам: