|
תודה.
תראו,
אני מכניס למסד נתונים, האופציה פתוחה לכולם, יש לי טופס שקולט את המשתנה ב POST, מכניס אותו למסד, ואז דף אחד מציג את הנתונים מהמסד.
אני רוצה שלא יוכלו להכניס html ולא יוכלו להוסיף ' כלומר לבצע sql injection.
אבל עושים sql injection רק ב get לא? כי מוסיפים ' בכתובת.
אז האם אני צריך לאבטח POSTים ב htmlspacialchars וGETים ב mysql_real_escape_string, אני צודק?
למשל id, שמוצג בכותרת אני מאבטח ב mysql_real_escape_string ואת הנתונים אני מקבל מטופס כמו העלאת מדריכים/חדשות/כל נתון אחר אז אני מעביר ב htmlspacialchars.
עשיתי פה בלאגן שלם, וההם לא עדיף כל משתנה להעיבר ב 2 הפונקציות? סתם כדי לאבטח יותר או שזה לא יעיל?
תודה.
__________________
מתכנת php אמין ומקצועי.
מחירים נוחים!
יצירת קשר: 0544378743
|
30-01-09, 13:06
תצורת אשכולות