View Full Version : سوال: فیلتر کردن اطلاعات در pdo با prepare
saeed-71
یک شنبه 14 اردیبهشت 1393, 17:38 عصر
سلام.
ایا موقع استفاده کردن از تابع prepare دیگه نیاز به عبور دادن اطلاعات از
$Return1 = addslashes($value);
$Return2 = htmlspecialchars($Return1);
$Return3 = strip_tags($Return2);
نیست؟
MMSHFE
یک شنبه 14 اردیبهشت 1393, 18:15 عصر
خیر نیازی نیست.
saeed-71
یک شنبه 14 اردیبهشت 1393, 18:21 عصر
ولی برای selecte کردن از prepare نمیشه استفاده کرد و باید از query($sql) برای نمایش و چاپ اطلاعات چی نیازی نیست باز نیازی نیست از $Return1 = addslashes($value);
$Return2 = htmlspecialchars($Return1);
$Return3 = strip_tags($Return2); استفاده کرد؟
MMSHFE
یک شنبه 14 اردیبهشت 1393, 19:09 عصر
برای سلکت کردن هم از Parameterized Query استفاده کنید.
ravand
سه شنبه 16 اردیبهشت 1393, 12:20 عصر
این چیزی که آقای شهرکی میگه رو توی انواع زبان ها اینجاست:
https://www.owasp.org/index.php/Query_Parameterization_Cheat_Sheet
در php :
$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");$stmt->bindParam(':name', $name);$stmt->bindParam(':value', $value);
من این روش رو بلد بودم ولی نمیدونستم برای امنیت باید از این روش استفاده کنم. و از query استفاده می کردم.
متشکرم.
vBulletin® v4.2.5, Copyright ©2000-1403, Jelsoft Enterprises Ltd.