سلام.
ایا موقع استفاده کردن از تابع prepare دیگه نیاز به عبور دادن اطلاعات از
$Return1 = addslashes($value);
$Return2 = htmlspecialchars($Return1);
$Return3 = strip_tags($Return2);
نیست؟
سلام.
ایا موقع استفاده کردن از تابع prepare دیگه نیاز به عبور دادن اطلاعات از
$Return1 = addslashes($value);
$Return2 = htmlspecialchars($Return1);
$Return3 = strip_tags($Return2);
نیست؟
خیر نیازی نیست.
ولی برای selecte کردن از prepare نمیشه استفاده کرد و باید از query($sql) برای نمایش و چاپ اطلاعات چی نیازی نیست باز نیازی نیست از $Return1 = addslashes($value);
$Return2 = htmlspecialchars($Return1);
$Return3 = strip_tags($Return2); استفاده کرد؟
برای سلکت کردن هم از Parameterized Query استفاده کنید.
این چیزی که آقای شهرکی میگه رو توی انواع زبان ها اینجاست:
https://www.owasp.org/index.php/Quer...on_Cheat_Sheet
در php :
$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");$stmt->bindParam(':name', $name);$stmt->bindParam(':value', $value);
من این روش رو بلد بودم ولی نمیدونستم برای امنیت باید از این روش استفاده کنم. و از query استفاده می کردم.
متشکرم.
قوانین ایجاد تاپیک در تالار
پاسخ با نقل قول