|
PHP PHP aplikacije, Smarty, PEAR |
|
Alati teme | Način prikaza |
|
10. 03. 2007. | #1 |
Goran Pilipović
Sir Write-a-Lot
|
Input escape - mysql_real_escape_string
Da li neko može da mi objasni koja je prava razlika između:
mysql_real_escape_string mysql_escape_string addslashes osim što mysql_real_escape_string proverava charset u bazi (znači zahteva link do konekcije) ja nisam primetio da se drugačije escape-uju stringovi. Interesuju me praktični primeri.
__________________
Goran Pilipović a.k.a. Ugly Fingers Bradley f.k.a. bluesman I don't always know what I'm talking about but I know I'm right! |
10. 03. 2007. | #2 |
Domagoj Horvat
Expert
|
addslashes escape-a: ' , " , NULL , \
mysql_real_escape_string: \x00, \n, \r, \, ', " and \x1a mysql_escape_string: This function is deprecated.This function is identical to mysql_real_escape_string() except that mysql_real_escape_string() takes a connection handler and escapes the string according to the current character set. mysql_escape_string() does not take a connection argument and does not respect the current charset setting.
__________________
postoje ludosti bez kojih je nemoguce ljudsko dostojanstvo |
10. 03. 2007. | #3 |
Psychedelictrance freak
Wrote a book
|
Sto se sigurnosti tice najbolje je koristiti mysql_real_escape_string. Mada u nekim slucajevima postoji mogucnost i da se ova zastita zaobidje.
__________________
Testiranje bezbednosti web aplikacija |
10. 03. 2007. | #4 |
Goran Pilipović
Sir Write-a-Lot
|
Da li se mysql_real_escape_string svaki put poveze na bazu kada god pozoves funkciju? Ako je tako - to mi ne zvuci kao beznacajno usporenje.
__________________
Goran Pilipović a.k.a. Ugly Fingers Bradley f.k.a. bluesman I don't always know what I'm talking about but I know I'm right! |
10. 03. 2007. | #5 |
Ivan Dilber
Sir Write-a-Lot
|
koliko sam uspeo da shvatim, ukoliko koristis latin ili utf8 enkoding, razlike nema (jer utf8 ima takav raspored karaktera da nema sanse da se baza "zbuni"). Ukoliko koristis neke druge enkodinge onda addslashes ne radi jer nije safe za rad sa multibajt karakterima, a takodje ni mysql_escape_string, jer on valjda koristi enkoding veze, a ne enkoding baze...
Sto se efikasnosti mysql_real_escape_string tice bilo bi logicno da drajveri za bazu kesiraju te podatke, a cak i da ne kesiraju, enkoding je meta podatak koji svaka tabela "zna napamet", tako da je provera toga u bazi veoma brza, pogotovo kad je baza u lokalu... ima raznih perfomance freakova na netu, a nikad nisam cuo da neko kritikuje mysql_real_escape_string, tako da sumnjam da tu ima nekog problema...
__________________
Leadership is the art of getting people to want to do what you know must be done. |
11. 03. 2007. | #6 |
profesionalac
Professional
Datum učlanjenja: 15.06.2005
Lokacija: Chicago IL, USA
Poruke: 209
Hvala: 12
12 "Hvala" u 11 poruka
|
|
|
|
Slične teme | ||||
Tema | Početna poruka teme | Forum | Odgovori | Poslednja poruka |
Input Validation | eclipse | Sva početnička pitanja | 4 | 08. 04. 2011. 05:13 |
html escape | ivanhoe | PHP | 2 | 05. 07. 2009. 20:59 |
<input> array | misk0 | Sva početnička pitanja | 3 | 25. 06. 2008. 20:21 |
Stil za input value | blogowski | (X)HTML, JavaScript, DHTML, XML, CSS | 10 | 23. 10. 2007. 21:04 |
Escape char iz mysql komandne linije. | Dragi Tata | SQL baze podataka - Sponzor: Baze-Podataka.net | 11 | 05. 08. 2006. 16:35 |