[scooter]

سلام .چند وقت پیش مطلبی تو سایت iranphp (اون یکی) خوندم که قبل از select تیبل این function رو استفاده کنید

کد PHP:

function sql_quote( $value )

{

    if( get_magic_quotes_gpc() )

    {

          $value = stripslashes( $value );

    }

    //check if this function exists

    if( function_exists( "mysql_real_escape_string" ) )

    {

          $value = mysql_real_escape_string( $value );

    }

    //for PHP version < 4.3.0 use addslashes

    else

    {

          $value = addslashes( $value );

    }

    return $value;

} 


وبعد هم

کد PHP:

$username = $_POST['username'];

query = "SELECT * FROM users WHERE username='" . sql_quote($username) . "'"; 


من می خوام سوال کنم آیا از این function میشه در مورد insert استفاده کرد .یعنی قبل از insert از این کد استفاده کرد و بعد هم نوشت

کد PHP:

sql="insert into filmdata (filename,paswand,filelink,fileadd,mozoo,filecomm) values ('".sql_quote($uname)."','".sql_quote($paswand)."','".sql_quote($uwork)."','". 


[Na3r]

بله میشه تو insert هم استفاده کرد
در واقع کار این تابع فیلتر کردن یک سری کاراکترهای ویژه مثل ' " هست که باعث جلوگیری از حملات sql Injection میشه

موفق باشی

[scooter]

یه چیز دیگه من وقتی که مقادیر فرم رو میگیرم یه بار از addslashes استفاده می کنم و بعد هم از این تابع .
مشکلی که پیش نمیاد؟

[Na3r]

نه یا فقط از addslashes استفاده کنید یا از این تابع
با این کار شما این تابع اسلشی که برای خنثی کردن کاراکترهای ' " گذاشته میشه رو خنثی میکنه و مشکل امنیتی داره