Du skal vel checke om det slemme JS er blevet indsat i din database (og dermed vises på dine sider).

At søge i database fremfor at kigge på sider er nok mere pålideligt.

Der er altid nogen som glemmer det uanset hvor meget omtale det har fået.

I know, jeg siger også blot at ASP.NET har den feature som #11 forespørger:
"det er da også underligt at de ikke gør det nemmere at forbygge SQL injections når der nu er så mange der ikke kan finde ud af at lave deres kode sikker."

Om SQL injections ikke er på vej væk? Jeg tvivler på at et "hul" med en så voldsom medieomtale som SQL injections har fået i 2008, har gode odds for netop at leve videre.

Den metode har været forældet i adskillige år (siden mysqli extension kom med PHP 5).

Er det iøvrigt ikke lidt "originalt" at bruge både mysql escape *og* addslashes ?

Både data validering og parametre er meget ældre end ASP.NET !

Og 2008 har vist været året med flest SQL injection problemer, så jeg deler ikke helt din optimisme.

[hmm - mit indlæg forsvandt]

Blokering for udførsel af flere SQL sætninger i en enkelt eksekvering er ikke nok til at beskytte mod alle former for SQL injection.

PHP gør vist stort set hvad de kan.

Men man jo kun tilbyde nogle features - man kan ikke tvinge programmører til at bruge dem rigtigt.

Ultimative måde:
function antiInjektion($variabel){
return trim(mysql_real_escape_string(addslashes($variabel)));
}

og så brug antiInjektion($_POST[ting])

Huhu..... Så er man i hvert fald sikret på alle måder..

ellers så lav en array_walk i starten af dit dokument (eks. din db.php) med trim, real_escape_string og addslashes, så bliver alle inputs automatisk sikret on-the-fly :)

SQL injections, IGEN?! altså, hvornår lærer folk det :/

Anyway, glad for jeg bruger Linux, ingen til at stjæle min wow konto :)Krissam (#10)

Man kan godt køre WoW på Linux. Hvad er din pointe? :-)