• 1 رای - 1 میانگین
  • 1
  • 2
  • 3
  • 4
  • 5
Select or Insert
#1
سلام .چند وقت پیش مطلبی تو سایت iranphp (اون یکی) خوندم که قبل از select تیبل این function رو استفاده کنید
کد پی‌اچ‌پی:
function sql_quote$value )

{

    if( 
get_magic_quotes_gpc() )

    {

          
$value stripslashes$value );

    }

    
//check if this function exists

    
if( function_exists"mysql_real_escape_string" ) )

    {

          
$value mysql_real_escape_string$value );

    }

    
//for PHP version < 4.3.0 use addslashes

    
else

    {

          
$value addslashes$value );

    }

    return 
$value;


وبعد هم
کد پی‌اچ‌پی:
$username $_POST['username'];

query "SELECT * FROM users WHERE username='" sql_quote($username) . "'"
من می خوام سوال کنم آیا از این function میشه در مورد insert استفاده کرد .یعنی قبل از insert از این کد استفاده کرد و بعد هم نوشت
کد پی‌اچ‌پی:
sql="insert into filmdata (filename,paswand,filelink,fileadd,mozoo,filecomm) values ('".sql_quote($uname)."','".sql_quote($paswand)."','".sql_quote($uwork)."','"
  پاسخ
تشکر شده توسط :
#2
بله میشه تو insert هم استفاده کرد
در واقع کار این تابع فیلتر کردن یک سری کاراکترهای ویژه مثل ' " هست که باعث جلوگیری از حملات sql Injection میشه

موفق باشی
  پاسخ
تشکر شده توسط : scooter
#3
یه چیز دیگه من وقتی که مقادیر فرم رو میگیرم یه بار از addslashes استفاده می کنم و بعد هم از این تابع .
مشکلی که پیش نمیاد؟
  پاسخ
تشکر شده توسط :
#4
نه یا فقط از addslashes استفاده کنید یا از این تابع
با این کار شما این تابع اسلشی که برای خنثی کردن کاراکترهای ' " گذاشته میشه رو خنثی میکنه و مشکل امنیتی داره
  پاسخ
تشکر شده توسط : aligilani1986 scooter


پرش به انجمن:


کاربران در حال بازدید این موضوع: 1 مهمان