دوستان من جستجو کردم اما جواب مناسبی پیدا نکردم. اگر سوالم تکراری لطفا بگید چه کلمه ای جستجو کنم!
من همیشه برای GET و POST از htmlspecialchars , htmlentities و addslashes استفاده میکنم :


$username = htmlspecialchars( htmlentities( addslashes( $_POST['username'] ) ) );

این کار خوب؟ آیا ترتیب استفاده از این توابع فرق داره؟

mysql_real_escape_string را جناب یعقوبیان گفته مشکل امنیتی داره! اما من دلیل مشکل را پیدا نکردم!
میشه یک نفر یک مثال از mysql_real_escape_string برای من بزنه!؟
مرسی

از Link های پایین امضام استفاده کنید...

Yousha جان مرسی , این مطالب را من قبلا خوندم و واقعا مفید بود اما زیاد کمکی به من درباره سوالاتم نکرد!!؟

دوست عزیز میتوانی در لینک زیر چند مثال خوب پیدا کنی
http://www.w3schools.com/PHP/func_mysql_real_escape_string.asp:تشویق:

دوستان من جستجو کردم اما جواب مناسبی پیدا نکردم. اگر سوالم تکراری لطفا بگید چه کلمه ای جستجو کنم!
من همیشه برای GET و POST از htmlspecialchars , htmlentities و addslashes استفاده میکنم :


$username = htmlspecialchars( htmlentities( addslashes( $_POST['username'] ) ) );

این کار خوب؟ آیا ترتیب استفاده از این توابع فرق داره؟

mysql_real_escape_string را جناب یعقوبیان گفته مشکل امنیتی داره! اما من دلیل مشکل را پیدا نکردم!
میشه یک نفر یک مثال از mysql_real_escape_string برای من بزنه!؟
مرسی
http://barnamenevis.org/forum/showthread.php?t=148752

مرسی از دوستان خوب :)
من هنوز نفهمیدم mysql_real_escape_string مشکل امنیتیش چیه؟ استفاده بشه یا نه؟
در ضمن من همیشه قبل از پرسش از بانک از ereg استفاده میکنم جون در 90% موارد نوع و تعداد ورودی ها را میدونم :


if(!ereg('^[a-z_A-Z]{1,15}$',$name))
{
die();
}

به نظر اساتید کمک به امنیت میکنه؟

مرسی از دوستان خوب :)
من هنوز نفهمیدم mysql_real_escape_string مشکل امنیتیش چیه؟ استفاده بشه یا نه؟
در ضمن من همیشه قبل از پرسش از بانک از ereg استفاده میکنم جون در 90% موارد نوع و تعداد ورودی ها را میدونم :


if(!ereg('^[a-z_A-Z]{1,15}$',$name))
{
die();
}

به نظر اساتید کمک به امنیت میکنه؟
صد درصد!
mysql_real_escape_string هم تقریبا مثل addslashes عمل میکنه و یکسری از کارکترهای غیر مجاز رو هم اصلاح میکنه.
بیشتر برای جلوگیری از sql injection به کار میاد

http://barnamenevis.org/forum/showthread.php?t=19410
http://barnamenevis.org/forum/showthread.php?t=134229
http://barnamenevis.org/forum/showthread.php?t=134824

این هم لینک یه سری مقالات در این رابطه:
https://www.ircert.cc///articles/index.mno?&lang=fa&subsite=15&product=-1
https://www.ircert.cc///articles/archive.mno?&lang=fa&subsite=15&product=-1

اگه از php5 استفاده کنی اصلا لازم نیست از addslashes و stripslashez استفاده کنی
خودش اتومات تشخیص میده

اگه از php5 استفاده کنی اصلا لازم نیست از addslashes و stripslashez استفاده کنی
خودش اتومات تشخیص میده
آره! خودش یه اسلش برای " یا ' یا کاراکترهای مشکل ساز میذاره!
اگه دوباره استفاده کنی شاید به مشکل هم بربخوری!
کلا تو php5 کمتر میشه injection انجام داد

آره! خودش یه اسلش برای " یا ' یا کاراکترهای مشکل ساز میذاره!
اگه دوباره استفاده کنی شاید به مشکل هم بربخوری!
کلا تو php5 کمتر میشه injection انجام داد

من php5 استفاده میکنم.


اگه دوباره استفاده کنی شاید به مشکل هم بربخوری!

یعنی addslashes و stripslashez نذارم و هر جا گذاشتمم پاک کنم؟؟

ببین اگه شک داری میتونی خودت امتحان کنی!
شما یه آرگومان رو با GET بفرست به یه صفحه php بعد اونو متغیر رو چاپ کن.
حالا مقدار این متغیر رو از طریق url مثلا این بده: 'test'
خب میبینی که خودش یه اسلش قبل از ' گذاشته!
پس اگه از addslashes رو هم بذاری یه اسلش دیگه میذاره کنارش !

مرسی __ziXet__ جان , امتحان کردم! جالب بود
پس با این حساب من نتیجه میگیریم استفاده از mysql_real_escape_string ضروری نیست!
مرسی از همه دوستان که کمک کردن :)