สอบถามเกี่ยวกับการ select sql ค๊ะ หนูทำการ select ข้อมูลในฐานข้อมูล WHERE name = $name_products;

กลับไปอ่านหัวข้อ การ insert ตัวอักษรพิเศษเข้าไปใน mysql (double quote) ที่คุณแมวของคุ๊กกี้ตอบแล้ว และหนูลองทำดู โดยการ insert โค๊ด <script>while(true)alert("555");</script> ลงไปแล้วลองเปิดหน้าเว็บดู pop up 555 ขึ้นมาไม่ยอมหยุดเลยค๊ะ ^^ น่ากลัวมาก

งั้นหนูขอถามคำถามคุณแมวของคุ๊กกี้อีกครั้งนะค๊ะ แต่ไม่เหมือนคำถามเดิม คือ


หนูจะ insert ข้อมูลลงไปในฐานข้อมูล เป็น ipad 5.2 &quot;&quot; เหมือนเดิมค๊ะ

และต่อจากนั้นหนูก็จะทำการ select ข้อมูลในฐานข้อมูล WHERE name = $name_products;

( แต่ $name_products; = ipad 5.2" )


หนูจะ select อย่างไรดีค๊ะ

select อย่างนี้ได้มั้ยค๊ะ WHERE name = htmlspecialchars('$name_products', ENT_QUOTES);

คือเปลี่ยนจาก ipad 5.2" ให้เป็น ipad 5.2 &quot;&quot; ก่อนนำไป select ค๊ะ

ถามอีกข้อนะค๊ะ

จากที่หนูทำการทดสอบ insert <script>while(true)alert("555");</script> เข้าไปในฐานข้อมูลแล้วนำมาแสดงผล ปรากฎว่า มี pop up เด้งขึ้นมา แต่ในทางกลับกันถ้าหนู insert <script>while(true)alert("555");</script> เข้าไปในฐานข้อมูล แต่ไม่ echo มาแสดงผล เพียงแต่
เอาไปใช้ในการ select ฐานข้อมูล WHERE เฉยๆ จะเกิด pop up หรือเปิดช่องทางในการ HACK หรือเปล่าค๊ะ

อ่่านเข้าใจแย้วค๊ะ ^^
ตามประโยคนี้ ดังนั้นเวลาที่จะแสดงผลข้อมูลที่รับมาจากผู้ใช้ ( ย่อหน้าล่างๆค๊ะ )

แสดงว่าถ้าหนู insert <script>while(true)alert("555");</script> เข้าไปในฐานข้อมูลตรงๆเลย แต่ไม่มีคำสั่งให้แสดงผล
เพียงแค่นำไปใช้เป็นเงื่อนไขในการ select table ก็ไม่มีปัญหาอะไร ^^/


หนูเข้าใจถูกต้องมั้ยค๊ะ

ขอบคุณค๊ะ