سلام
می خوام سایتم رو طوری کد نویسی کنم که امنیت به طور کامل رعایت بشه!باید چکارکنم؟
اینها رو می دونم که:ورودی ها رو با stripttagsیا htmlentitiesبگیرم تا ورودی رو به رشته تبدیل کنه و اگر کد بود،اجرا نشه!
و اینکه ورودی ها رو با addslashesبگیرم برای رفع خطاهایsql injection(همین کار به تنهایی برای این مدل،خطا ها کافیه؟).

لطفا راهنماییم کنید..ممنونم.

http://barnamenevis.org/showthread.php?327576-%D8%AA%D9%85%D8%A7%D9%85-%D8%B1%D8%A7%D9%87-%D9%88-%D8%B1%D9%88%D8%B4%D9%87%D8%A7%DB%8C-%D8%A8%D8%B1%D9%82%D8%B1%D8%A7%D8%B1%DB%8C-%D8%A7%D9%85%D9%86%DB%8C%D8%AA-%D9%88%D8%A8-%D8%B3%D8%A7%DB%8C%D8%AA%D9%87%D8%A7%DB%8C-PHP

http://barnamenevis.org/showthread.php?306067-%D8%A8%D8%B1%D8%A7%DB%8C-%D8%A7%D9%85%D9%86%DB%8C%D8%AA-%DA%A9%D8%AF-%D9%87%D8%A7%DB%8C-PHP-%DA%86%D9%87-%D8%B1%D8%A7%D9%87-%D8%AD%D9%84-%D9%87%D8%A7%DB%8C%DB%8C-%D9%88%D8%AC%D9%88%D8%AF-%D8%AF%D8%A7%D8%B1%D9%87%D8%9F

سلام
اگر تمام ورودی خروجی های سایت رو کنترل کنید مشکل حل میشه

ببخشید منم یه سوال در همین راستا دارم
من تو سایتم همه ورودیها و خروجیها رو از این دو تا دستور استفاده کردم خوبه => htmlentities , mysql_real_scape_string

یا باید از اینا هم استفاده کنم و addslashesوstripttags ؟؟؟
از اقای student 91 هم عذر خواهی میکنم که تو اینجا سوال پرسیدم

ببخشید منم یه سوال در همین راستا دارم
من تو سایتم همه ورودیها و خروجیها رو از این دو تا دستور استفاده کردم خوبه => htmlentities , mysql_real_scape_string

یا باید از اینا هم استفاده کنم و addslashesوstripttags ؟؟؟
از اقای student 91 هم عذر خواهی میکنم که تو اینجا سوال پرسیدم

منظور من این بود که یه تابع بنویس و همه مقادیر ورودی رو به اول تابع بفرس و دوباره تو خودش ذخیره کن.
من از این تابع استفاده می کنم

public function escape($sql) {
$sql = trim($sql);
$sql = strip_tags($sql);
if(!get_magic_quotes_gpc() )
{
$sql = addslashes($sql);
}
$sql = addslashes($sql);
$sql = mysql_real_escape_string($sql);
return $sql;
}

من از این :


$symbol = array(',', ')', '(', "'", '"','!', '?', '/', '[', ']', '+', '=', '#', '\x00','\x7F','\xC0','\xFD', '\n', '\r','\t', '\x1a', '&', '$');
$Famili = preg_replace("/<.*?>/", "",$_POST['Famili'] );
$Famili =str_replace( $symbol ,"",$Famili);

می تونید استفاده کنید . ولی اگه مشکلی داشت با مدرک اعلام کنید.

موفق باشید

دوستان ورودی ها با escape کردن یا کارهای ساده مثل stripslahes یا addslashes پاک و ایمن نمیشن اگه اینجوری بود که همه سایتها magic quote رو فعال می کردن و ایمن می شدن.

XSS Clean
و
CSRF
هم باید رعایت بشن