Linux- Yazilim : Linux' uzerinde yazilim gelistirme Haberlesme Listesi: [Linux-programlama] Re: addslashes SQL Arama ile ilgili

From: Necmettin Begiter <necmettin.begiter_at_gmail.com>
Date: Wed, 24 Oct 2007 16:45:58 +0300
Message-Id: <200710241645.58881.necmettin.begiter@gmail.com>

On Wednesday 24 October 2007 16:03:17 Güyçmırat Amanmırat wrote:
> Merhaba.
>
>
>
>
>
> Evet öyle imiş.
>
>
>
> Analamadığım,
>
>
>
> 1 defa Addslashes kullanılınca mysql bunu iptal ediyor.
>
> İnsert into city(city) values("addslashes($_POST[city])")
>
> İle
>
> İnsert into city(city) values("$_POST[city]")
>
>
>
> Arasında hiçbir fark yok.
>
> Ama
>
> İnsert into city(city) values("addslashes(addslashes($_POST[city]))")
>
> Diyince vt-de deneme\' oluyor.
>
>
>
>
>
> Sadece bir kere addslashes kullanmak yeterince güvenlimi acaba ? Yani
> veritabanına öyle eklenmese bile tek kere kullanmam yeterlimi ? Yoksa
> güvenlik için 2 defamı kullanılıyor ?
>
> Yoksa, tek kere addslashes kullanmak yeterli. Zaten doğru olan mysql-e
> yazılmaması. Ama bunu kullanmak sql injectionu önlüyor mu ?
>
>
>
> Teşekkürler.
>
>
>
>
>
>
>
>
>
> _____
>
> From: linux-programlama-bounces_at_liste.linux.org.tr
> [mailto:linux-programlama-bounces_at_liste.linux.org.tr] On Behalf Of M.ATIF
> CEYLAN
> Sent: Wednesday, October 24, 2007 1:55 PM
> To: linux-programlama_at_liste.linux.org.tr
> Subject: [Linux-programlama] Re: addslashes SQL Arama ile ilgili
>
>
>
> fazladan bir slash daha ekleyip deneyin.
> deneme\\'a
> kolay gelsin
>
> 24.10.2007 tarihinde Güyçmırat Amanmırat < <mailto:guychmyrat_at_yahoo.com.tr>
> guychmyrat_at_yahoo.com.tr> yazmış:
>
> Merhabalar.
>
>
> PHP-de Kullanıcıdan gelen yazıları veritabanına addslashes ekleyerek
> yazıyorum. Yani $gelen = addslashes($_POST[name]);
> gibi.
>
> Daha sonra bu veritabanında örneğin İstanbul için şöyle duruyor :
> Deneme\'a
> Şeklinde veritabanına kayıt oluyor.
> Bunu sql ile çekmeye çalıştığımda şöyle sorgo yapıyorum.
>
>
>
> Select * from sehirler where name = like '%Deneme\'a%'
>
> Yapıyorum. Yani aramadan gelen kelimeyede addslashes ekliyorum.
>
> Ama herhangi bir sonuç gelmiyor. Yani boş dönüyor.
> Zannedersem MYsql '%Deneme\' burada kesiyor diyecem ama yinede herhangi
> bişey dönmüyor.
>
> Deneme\'a
> Deneme\'da
> Deneme\'lu
>
> Gibi kayıtlardan Deneme\' şeklinde nasıl arama yaptırabilirim ?

Şu konuyu incelemenizi tavsiye ederim:
http://tr2.php.net/magic_quotes

Özellikle magic_quotes_gpc ve magic_quotes_runtime.
_______________________________________________
Linux-programlama mailing list
Linux-programlama_at_liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-programlama
Received on Wed 24 Oct 2007 - 16:15:38 EEST