Je hebt een klacht over de onderstaande posting:
Door Hugo: Door Anoniem: Hoezo is dit niet waar? Als je eerst een database verbinding maakt en dan de arrays post en get uitleest en deze vervolgens onschadelijk maakt dmv mysql real escape string zit je gewoon veilig. $id = mysql_real_escape_string($_GET["id"]); $query = "select column from some_table where id=".$id; als ik nu als id in de URL de volgende waarde neem: "0 union select password from users where id=1". mysql_real_escape_string() verandert niks aan de id parameter en toch heb je een knaller van een SQL injection. mysql_real_escape_string beschermt niet tegen SQL injectie in integers, laatst nog getest en dit werkt ook: $id = mysql_real_escape_string($_GET["id"]); $query = "select column from some_table where id='$id'"; Misschien zal je wel wat in je tabel moeten veranderen, maar ik heb iedere waarde toch standaard op TEXT staan, is wat makkelijker in gebruik en ook wat minder efficient, weet ik. :)
Beschrijf je klacht (Optioneel):