View Full Version : حرفه ای: sql query
farhadsoft
شنبه 15 آبان 1389, 18:39 عصر
سلام
$mail=trim(htmlspecialchars(addslashes($_POST['mail'])));
$query="INSERT INTO table VALUES('$mail')";
$resualt=mysql_query($query,$conn);
به نظرتون امان تزریق اسکیو ال وجود داره؟؟
ویا هر نوع هکی؟؟
funpatogh
شنبه 15 آبان 1389, 20:03 عصر
اینجا اون htmlspecialchars بدون آرگومان دوم که نوشتی کاری انجام نمیدهد اگر میخواهی که htmlspecialchars برای ' هم کاربرد داشته باشه بهتر هست که
$mail=trim(htmlspecialchars(addslashes($m),ENT_QUO TES));
farhadsoft
شنبه 15 آبان 1389, 20:41 عصر
اینجا اون htmlspecialchars بدون آرگومان دوم که نوشتی کاری انجام نمیدهد اگر میخواهی که htmlspecialchars برای ' هم کاربرد داشته باشه بهتر هست که
$mail=trim(htmlspecialchars(addslashes($m),ENT_QUO TES));
دوست عزیر ممنونم ازت
mnoori
یک شنبه 16 آبان 1389, 13:08 عصر
سلام
دوست عزیز بجای addcslashes از دستور mysql_real_escape_string استفاده کن این دستور چک می کنه که ورودی شما ساختار SQL نداشته باشه
دستور htmlspecialchars اگر در متغییر شما ساختار HTML داشته باشه اون رو خنثی می کنه
funpatogh
یک شنبه 16 آبان 1389, 19:45 عصر
mysql_real_escape_string این تابع بر روی کانکشن عمل escape رو انجام میدهد اما addslashes بدون اتصال به mysql هم escape می کند و یا mysql_escape_string
vBulletin® v4.2.5, Copyright ©2000-1403, Jelsoft Enterprises Ltd.