سلام.ایا اگر از pdo استفاده نکنیم و از همون اتصال mysql استفاده کنیم سایت به راحتی هک میشه؟!
سلام.ایا اگر از pdo استفاده نکنیم و از همون اتصال mysql استفاده کنیم سایت به راحتی هک میشه؟!
ببینید تمام امنیت سایت شما به کد نویسی و اون الگوریتم که شما پیاده سازی کردید برمیگرده! نه به توابع پی اچ پی! اصولی کار کنید تا به مشکل خاصی برخورد نکنید
خوب برای sql injection اگر از تابع
PHP: mysql_real_escape
استفاده کنیم حله؟
بله،اما این توابع همونطور که توی سایت پی اج پی هم گفته شده منسوخ در اینده حذف میشن !
بهتره از PDO استفاده کنید که خودش Escape میکنه مقادیر رو با ویژگی prepare statement .
در مورد SQL Injection خیلی بحث شده و اگه جستجو کنید توی پست ها روش های جلوگیری از SQL injection را خوایهد فهمید.
mysql extension در نسخه های بعدی php حذف میشه و اگه هاست شما به این نسخه ها upgrade کنه به مشکل میخورین. البته توی چنین شرایط حساسی تا یکی دو سال اکان استفاده از نسخه های مختلف روی هاس ها قرار داده میشه اما این نباید موجبات تنبلی بشه و بهتره خیلی زود به mysqli یا pdo مهاجرت کنید.
در مورد pdo و mysqli هم به شری استفاده از Parametrized Queries یا همون Prepared Statements مشکل injection نخواهید داشت و اگه بخواین به صورت inline همچون گذشته query بنویسید حتما با escape کنید که توابع مرتبطش هم وجود داره. در ضمن فراموش نشه مشکلات امنیتی که با خود Data در ارتباط هست مثل XSS هیچ ربطی به اینکه از چه extension ی استفاده میکنید نداره.
موفق باشین.