Zdravím. V prvom rade sa ospravedlňujem ak som vytvoril duplicitnú tému, ale keď som hľadal podobnú tému na môj problém tak sa mi ju nepodarilo nájsť.

Pre niekoho to bude možno smiešny problém ale tak ...
Chcem sa spýtať jednu vec. Mám vytvorený php súbor (hl_ponuka.php) kde mám všetky selekty z db, pričom sú písane typom select * from tabulka.... where id = 1 alebo between 3 and 4.. atd. Tento súbor hl_ponuka.php "include-ujem" do uvod.php. Moja otázka znie: Ako ošetriť to, aby som nemal to klasické a ľahko napadnuteľné ...where id = 1.. Na nete som si našiel nejaké návody, ale mal som problém s implementáciou - vypisovalo chyby.
Ďakujem.

uplne najprimitivnejsia ochrana je, ze tie premenne, do ktorych davas id-cka pretypujes na int Alebo budes pouzivat mysql* escape funkcie.

Prejdi z mysql na mysqli a začni používať všade "prepared statements".

S-player napísal:Prejdi z mysql na mysqli a začni používať všade "prepared statements".

bolo by možné priblížiť mi to nejakým príkladom? (pre lepšie porozumenie)

http://php.net/manual/en/mysqli.prepare.php
http://mattbango.com/notebook/code/prep ... nd-mysqli/
http://stackoverflow.com/questions/1419 ... prevention
http://stackoverflow.com/questions/9629 ... nts-in-php

... a ten najdôležitejší
http://goo.gl/uPm590

S-player napísal:http://php.net/manual/en/mysqli.prepare.php
http://mattbango.com/notebook/code/prep ... nd-mysqli/
http://stackoverflow.com/questions/1419 ... prevention
http://stackoverflow.com/questions/9629 ... nts-in-php

... a ten najdôležitejší
http://goo.gl/uPm590

ok vďaka

Pripadne sa vykasli na mysqli a skus rovno PDO