سلام دوستان من این تابع رو برای جلوگیری از sql injection نوشتم بنظرتون چطوره
یه سوال دیگه اینه که دیگه چه مبحثی رو باید رعایت کنم بغیر از sqlinjection؟


function injectbyid($id){
if((!isset($id)) or (($id)=="") or (!is_numeric(($id)))){

echo "<script> location.replace('/internetsharing/index.php'); </script>";
}
else
{
$id=mysql_real_escape_string($id);
$id = (int) $id;
return $id;
}
}

برای sql injection بهتره از این استفاده کنی
که تابه خیلی خوبیه

function quote_smart($value)
{
if(!is_numeric($value)) {
if(get_magic_quotes_gpc()) $value = stripslashes($value);
return mysql_real_escape_string($value) ;
}
else return $value;
}
برای xss ها هم بهتره از کتابخانه قدرتمند htmlpurifier استفاده کنید

بنظرتون برای ارسال مقدار از عدد استفاده کنم بهتره یا رشته ؟
برای ارسال منظورمه ها
///مبحث های دیگری هم هست برای امنیت بجز sql injection