mischien helpt dit?

Klikkertje

Wat moet JIJ daartegen doen? Jij helemaal niks, het is jouw probleem niet. Zorg dat die gast zijn Banditi source beveiligd ([func]mysql_real_escape_string[/func] en [func]stripslashes[/func]), anders kan je wel aan de gang blijven. JIJ zelf kan weinig daartegen doen.

Maar waar moet je die neerzetten dan?

Op elke plek waar je waardes in je database pompt... Zo ga je een groot gedeelte van SQL-injections tegen.

Perry dus in de connectie / connection file.

Oke, dankje mark

Allebei? [func]mysql_real_escape_string[/func] om ze in de database te zetten, en [func]stripslashes[/func] om ze weer weer te geven als je ze eruit haalt...

Als je een input hebt voor bv, doneren.
Stel je hebt een form van dit:

<form method="POST">
<input type="text" name="doneer" value="">
</form>

Dan doe je het zo:

$Blabla = stripslashes(htmlspecialchars(mysql_real_escape_string($_POST['doneer'])));

Dit is maar een voorbeeldje

Ik hoop je hiermee voldoende op weg te hebben geholpen.

Willem, zie dit artikel.

Dan ben je aardig lang bezig om dat overal in te zetten?

Citaat van Perrytje11

Dan ben je aardig lang bezig om dat overal in te zetten?

Begrijp je dan meteen, waarom de meeste altijd roepen van "zelf maken is beter"

Ja, inderdaad, nu snap ik ook waarom :O

Hopelijk gaan dat ook meer mensen inzien, en zien we over een tijd een hele bubs met nieuwe "unieke" spellen (h) :sst:

Citaat van Willem

Jongens. die gasten kunnen niet scripten daarom hebben ze osbanditi source

Maar ben even lezen en snappen klein beetje:P

Des te meer reden om er niet aan te beginnen.
Begin dan met boeken over HTML/CSS/PHP/MySQL.

Niet lullig bedoelt, maarja.......

Even alle gemelde onwaarheden in dit topic op een rijtje:

Citaat

Maar nou was mijn vraag hoe kan ik de database beveiligen tegen sql injections.

De database kun je niet beveiligen tegen in SQL-injections. SQL zit voor de database, dus tussen PHP en de database in. Dus waar beveilig je? Al wanneer je de informatie binnen kijgt bij PHP.

Citaat

Perry dus in de connectie / connection file.

Magic qoutes nabootsen? Zie http://www.php.net/manual/en/security.magicquotes.whynot.php waarom je dat vooral NIET moet doen.

Citaat

Allebei? mysql_real_escape_string om ze in de database te zetten, en stripslashes om ze weer weer te geven als je ze eruit haalt...

Als je een goed systeem hebt heb je pratisch nooit strip_slashes nodig. Je zet je data toch niet met slashes in de database? Zo zet je ze in de query, is heel iets anders...

Citaat

Dan doe je het zo:

PHP

$Blabla = stripslashes(htmlspecialchars(mysql_real_escape_string($_POST['doneer'])));

Dus eerst slashen, om vervolgens de slashes weer weg te halen? Heeft weinig nut. Daarbij zet je niet iets met html special chars in de database! Dat kost alleen maar ruimte, en de data wordt er alleen maar corrupt en ingewikkeld van.

Er moet echt iets gebeuren aan alle onzin die hier wordt vermeld zo langzamerhand...