درود

بنده به یک فانکشن نیاز دارم که ورودی های POST کاربر را ازش عبور بدم و اگه کد SQL یا هر کد مخرب دیگه ای توش یافت شد فیلتر کنه

ارتباط هم از نوع new mysqli هست

ممنون

از تابع real_escape_string مربوط به mysqli استفاده کن ...

مطمعنید همین یک تابع کافی هست ؟
۱۰۰ ٪ می خیالم از بابت Sql Injection‌ راحت باشه ؟

نه هیچ صددرصدی تو امنیت وجود نداره ... اینجا رو بخون


http://stackoverflow.com/questions/60174/how-can-i-prevent-sql-injection-in-php

من وقتی ازش توی لوکال استفاده می کنم هیچی بر نمی گردونه

دیگه توابع مربوط به اینکار deprecated شده و پشتیبانی نمیشه در php5.3
بهتره از mysqli و بهتر اینکه از PDO استفاده کنید

شما از pdo استفاده خیالتم اسودست.
یادگیریشم سخت نیست.

از pdo استفاده کن دگ نمی خواد از تابع عبور بدی خودش یه prepare داره و بس

ممنون از دوستان
ولی الان دیگه خیلی دیر هست
اگه بخوام به PDO تبدیل کنم باید قسمت عظیمی از کد را تغییر بدم
راه دیگه وجود داره؟
تابع mysql_real_escape_string برای من کار نمی ده اخه :|

از شی mysqli که تعریف کردی متد real_escape_string رو فراخوانی بکن ... اینی که گفتی مربوط به mysql هستش نه mysqli

تابع mysql_real_escape_string برای من کار نمی ده اخه :|
یعنی چی؟ مشکل چیه؟

آقا آرش تو پست اول گفتن دیگه دقت کن ازین تابع mysqli_real_escape_string (http://ir2.php.net/manual/en/mysqli.real-escape-string.php) استفاده کن

یعنی چی؟ مشکل چیه؟

مثلا به این صورت که قرار بدم



function clean($str) {
$clean = mysql_real_escape_string($str);
return $clean;
}
echo $clean($_POST['test']);


چیزی را echo نمی کنه
سفید :|

دوست عزیز شما از کدوم روش برای اتصال به db دارید استفاده میکنید ؟ mysql یا mysqli ؟

نمونه کد :


<?php
$con = new mysqli('localhost','root','','db_name');
$field = $con->real_escape_string($_POST['name']);
$result = $con->query("SELECT * FROM `tbl_name` WHERE `name` = '{$field}' ");
?>

از شی mysqli که تعریف کردی متد real_escape_string رو فراخوانی بکن ... اینی که گفتی مربوط به mysql هستش نه mysqli

ممنون با گفته شما درست شد :x
پستتون را ندیده بودم