نوشته شده توسط
ali_sed
سلام
مطمئن شوید که real_escape_string_exists حتما true باشد و در صورتی که وجود ندارد با توجه به مشکلات امنیتی برنامه خطای فتال دهد نه اینکه به راحتی متغیر را بدون تغییری برگرداند.
مقدار را حتما در داخل "" قرار دهید.
select * fron tbl_blog where id="{$database->escape_value($id)}"
برای مقادیر عددی حتما از عدد بودن آن مطمئن شوید مثلا با عبارت $id = (int) $id;
ممنون از شما بابت راهنمایی
خب چطوری متوجه بشم که real_escape_string_exists فعال هست و اگر نیست اررور بده؟
اینطوری هم اومدم فانکشنم رو تغییر دادم ولی باز چک کردم همچنان injection وجود داره
$value = stripslashes($value); $value = addslashes($value); $value = htmlentities($value); $value = mysqli_real_escape_string($this->connection, $value); return $value;