Şimdiye kadara sadece addslashes kullandım. zaten sqli bozacak olan sadece
tek tırnak olayı (String değerlerde) olduğu için bu yeterli oluyor
zannedersem. Sayısal değerlerde $id = (int) $_GET['id']; veya $toplam =
(float) $_GET['toplam']; gibi filtreyi kullanmanız gerek. daha kolay ve
güvenli işlemler için
MySQLi : http://www.php.net/manual/en/book.mysqli.php
PS: bir çok veri tabanı yönetim nesneleri (classes) bu güvenliği sizin çin
daha etkin yapabilir.
2009/1/11 Nuri AKMAN <nuriakman_at_gmail.com>
> Arkadaşlar,
>
> $_POST veya $_GET ile aldığım bir parametreyi SQL'de kullanmam ve ekrana
> yazdırmam gerekiyor.
> Aşağıdaki kadar işlem hack yememek için sizce yeterli olur mu?
>
>
> $_GET['bolumadi'] = *striptags*($_GET['bolumadi']);
> echo $_GET['bolumadi'];
> $SQL = sprintf("select * from xxx where yyy = '%s' order by 1", *
> mysql_real_escape_string*( $_GET['bolumadi'] ));
>
> Selamlar,
> Nuri AKMAN
>
> _______________________________________________
> Linux-programlama mailing list
> Linux-programlama_at_liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-programlama
>
>
-- Elvin Şiriyev http://siriyev.net
_______________________________________________
Linux-programlama mailing list
Linux-programlama_at_liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-programlama
Received on Mon 12 Jan 2009 - 08:14:10 EET