ปันหาการติดต่อผ่านodbcแล้วเกิด sqlinjection กับเครื่องหมาย '

สำหรับผู้ที่ เริ่มต้น Programming - PHP มีอะไร แนะนำ หรือข้อสงสัยต้องบอร์ด นี้ คนที่มีความรู้ แบ่งปันคนอื่นบ้างนะ ปัญหาการเขียนโปรแกรม แบบ OOP Session Cookies php network

Moderators: mindphp, ผู้ดูแลกระดาน

User avatar
nkz
PHP Newbie
PHP Newbie
Posts: 1
Joined: 01/01/1970 7:00 am

ปันหาการติดต่อผ่านodbcแล้วเกิด sqlinjection กับเครื่องหมาย '

Postby nkz » 22/10/2007 12:01 am

ช่วยด้วยค้าบ
คือว่า ผมเขียนคำสั่ง

$connect= odbc_connect('phpaccess','','');

$sql_input = "INSERT into new values ('$r1','$r2','$r3' ~

odbc_exec($connect,$sql_input);

แล้วหา form ก่อนหน้านี้ ถ้ามีคนเขียนข้อมูลเป็น
$r1 ="สวัสดีครับ ^^' "
เช่นนี้อ่ะครับ มันจะ error ขึ้นมาเพราะมีเครื่องหมาย ' <-- นี้อยู่
ควรจะแก้ไขอย่างไรครับ?
เปิด magic quote GPC = On แล้ว
ผมลอง echo ดู มันก้อเป็น
INSERT into new values ('สวัสดีคัรบ ^^\' ','$r2','$r3' ~
ขอผู้รู้ช่วยแนะนำทีครับ

อ่อ error ที่มันแจ้งคือ
Warning: odbc_exec() [function.odbc-exec]: SQL error: [Microsoft][ODBC Microsoft Access Driver] Data type mismatch in criteria expression., SQL state 22005 in SQLExecDirect in D:\changeprofile.php on line 111
นะครับ

User avatar
mindphp
ผู้ดูแลระบบ MindPHP
ผู้ดูแลระบบ MindPHP
Posts: 21817
Joined: 22/09/2008 6:18 pm
Contact:

Postby mindphp » 22/10/2007 5:01 am

ก่อนที่ จะ เอา ข้อมูล ลงฐานข้อมูล ให้ ใส่ \ ก่อน ถ้ามี ' ครับ
https://www.mindphp.com/modules.php?name ... nt&tid=330
ติดตาม VDO: http://www.youtube.com/c/MindphpVideoman
ติดตาม FB: https://www.facebook.com/pages/MindphpC ... 9517401606
หมวดแชร์ความรู้: viewforum.php?f=29
รับอบรม และพัฒนาระบบ: viewtopic.php?f=6&t=2042


Return to “Programming - PHP”

Who is online

Users browsing this forum: Google [Bot], sopida and 52 guests