newman2006006
سه شنبه 26 آبان 1394, 14:50 عصر
با سلام خدمت اساتید عزیز، یک سوال داشتم، فرض یک تابع اختصاصی برای escape رشته ها خطرناک برای جلوگیری از هک SQL Injection نوشتیم حالا این تابع را مستقیم در کوئری استفاده کنیم مثل زیر مشکلی پیش نمیاد؟
$db->query("SELECT * FROM test WHERE `username`=".$db->escape($username)."");
یا باید اول در متغییر بریزیم بعد در کوئری متغییر را استفاده کنیم.
$db->query("SELECT * FROM test WHERE `username`=".$db->escape($username)."");
یا باید اول در متغییر بریزیم بعد در کوئری متغییر را استفاده کنیم.