Forgot Password ??

PHP , ASP , ASP.NET, VB.NET, C#, Java , jQuery , Android , iOS , Windows Phone

	Registered : 109,037

HOME > PHP > PHP Forum > ขอสอบถามเกี่ยวกับการใช้งาน mysql_real_escape_string หน่อยครับผม สงสัยเพื่อความชัวร์

ขอสอบถามเกี่ยวกับการใช้งาน mysql_real_escape_string หน่อยครับผม สงสัยเพื่อความชัวร์

เริ่มหัวข้อใหม่

NongChai

โพสกระทู้ ( 59 )
บทความ ( 0 )

ผมเห็นว่า mysql_real_escape_string สามารถช่วยกรองข้อมูล input เข้ามาได้แต่ผมสงสัยเกี่ยวกับการใช้งานแบบนี้ถูกต้องรึเปล่า

วิธีที่ 1
Code (PHP)

$username = ($_GET[username']);

$result = mysql_query('SELECT account_id,user_pass FROM login WHERE userid = \'' . mysql_real_escape_string($username) . '\' LIMIT 1');

วิธีที่ 2
Code (PHP)

$username = mysql_real_escape_string($_GET['username']);

$result = mysql_query('SELECT account_id,user_pass FROM login WHERE userid = '$username' LIMIT 1');

จากทั้ง 2 วิธีนี้สามารถใช้งานได้เหมือนกันใช่ หรือ ไม่ ครับ

คือผมเคยเห็นแบบวิธีที่ 1 ซะส่วนใหญ่แต่ผมเองชอบแบบวิธีที่ 2 คือ escape มันจุดแรกครั้งเดียวไม่ต้องไป escape ที่ไหนต่อ แต่ผมอยากทราบว่า ความสามารถ มันเหมือนกันรึเปล่าครับ ขอบคุณครับ

Tag : PHP

Date : 2011-02-21 11:08:34

By : nazezaza

View : 1575

Reply : 2

No. 1

Guest

ใช้แทนกันได้ครับ
แต่อันนี้เขียนผิดนะต้องใช้ " " แทน ' '
$result = mysql_query('SELECT account_id,user_pass FROM login WHERE userid = '$username' LIMIT 1');

$result = mysql_query("SELECT account_id,user_pass FROM login WHERE userid = '$username' LIMIT 1");

สำหรับ mysql_real_escape_string ควรจะแทนด้วย
function s(){
return "'".mysql_real_escape_string($s)."'";
} //ใส่โค้ดนี้ใน file ที่ใช้ include เช่น connect.php หรือ config.php
เพื่อให้โค้ดป้องกันได้จริงๆ ครับ เพราะถ้าลืมใส่ ' ' อาจจะโดน hack ได้เช่นกันครับ

ใช้แบบนี้ครับ
$username = s($_GET['username']);
$id = s($_GET['id']);
$result = mysql_query("SELECT account_id,user_pass FROM login WHERE userid = $username AND id= $id);

Date : 2011-02-21 11:26:49

By : num

No. 2

NongChai

โพสกระทู้ ( 59 )
บทความ ( 0 )

เข้าใจแล้วครับ ขอบคุณครับ

Date : 2011-02-21 17:34:32

By : nazezaza

ค้นหาข้อมูล

แสดงความคิดเห็น

Re : ขอสอบถามเกี่ยวกับการใช้งาน mysql_real_escape_string หน่อยครับผม สงสัยเพื่อความชัวร์

รายละเอียด

เพื่อความเรียบร้อยของข้อความ ควรจัดรูปแบบให้พอดีกับขนาดของหน้าจอ เพื่อง่ายต่อการอ่านและสบายตา และตรวจสอบภาษาไทยให้ถูกต้อง

อัพโหลดแทรกรูปภาพ

Notice

เพื่อความปลอดภัยของเว็บบอร์ด ไม่อนุญาติให้แทรก แท็ก [img]....[/img] โดยการอัพโหลดไฟล์รูปจากที่อื่น เช่นเว็บไซต์ ฟรีอัพโหลดต่าง ๆ
อัพโหลดแทรกรูปภาพ ให้ใช้บริการอัพโหลดไฟล์ของไทยครีเอท และตัดรูปภาพให้พอดีกับสกรีน เพื่อความโหลดเร็วและไฟล์ไม่ถูกลบทิ้ง

เพื่อความปลอดภัยและการตรวจสอบ กระทู้ที่แทรกไฟล์อัพโหลดไฟล์จากที่อื่น อาจจะถูกลบทิ้ง

โดย

อีเมล์

บวกค่าให้ถูก

<= ตัวเลขฮินดูอารบิก เช่น 123 (หรือล็อกอินเข้าระบบสมาชิกเพื่อไม่ต้องกรอก)

Exchange: นำเข้าสินค้าจากจีน, Taobao, เฟอร์นิเจอร์, ของพรีเมี่ยม, ร่ม, ปากกา, power bank, แฟลชไดร์ฟ, กระบอกน้ำ

Load balance : Server 00