如何保護這種形式從SQL注入

Question

可能重複：
Editing MySQL recode using a HTML form

想知道如何驗證此提交表單的輸入。通過驗證我的意思是保持SQL注入安全。任何幫助將非常感激。謝謝。

<?php 

session_start(); 
if(!session_is_registered(ausername)){ 
header("location:main_login.php"); 
} 
include ("header.php"); 
include ("../db.php"); 

$catname = $_POST['catname']; 
$catdisc = $_POST['catdisc']; 

$id = $_GET['id']; 
     if (isset($id)) 
     { 
$query = "SELECT * FROM categories WHERE catid='$id'"; 
$result= mysql_query($query) or die ('Mysql Error'); 

} 
//Get category name and discription 
while($row = mysql_fetch_array($result)){ 
$cname = $row['catname']; 
$cdisc = $row['catdisc']; 
} 
?> 

<?php 

$result= mysql_query ("UPDATE categories SET catname='$catname', catdisc='$catdisc' WHERE catid='$id'") 
or die ('Error Updating'); 

?> 

<h1>Edit Categories</h1> 

<form method="post" action="../admin/edit_cat.php?id=<?php echo $id;?>"> 
Category Name: <input type="text" name="catname" value="<?php echo $cname;?>"><br/> 
Category Discription: <TEXTAREA NAME="catdisc"ROWS="3" COLS="25"><?php echo $cdisc;?></TEXTAREA><br/><br/> 
<input type="submit" value="Update Category"/> 
</form> 

<?php 
include ("footer.php"); 
?> 

Answer 1

字符串（必須是在查詢單/雙引號！） - >mysql_real_escape_string();

整數（可能是不帶引號） - >intval();

$catname = mysql_real_escape_string($_POST['catname']); 
$catdisc = mysql_real_escape_string($_POST['catdisc']); 
$id = intval($_GET['id']); 

$result= mysql_query ("UPDATE categories SET catname='$catname', catdisc='$catdisc' WHERE catid=$id") 

Answer 2

添加所有mysql_real_escape_string電話您的查詢變量，請參閱http://php.net/manual/en/function.mysql-real-escape-string.php

Answer 3

請參閱PHP SQL Injection文檔中的「避免技術」。

Answer 4

使用數據庫庫的使用佔位符。更好的API，它免費處理SQL注入。

例如，見準備和MDB2

Answer 5

使用預處理語句處理時用戶可以更改值執行：http://us2.php.net/manual/en/pdo.prepare.php

他們讓SQL注入是不可能的。