استفاده از كدام تابع در برابر تزريق اس كي ال

[Mohammadreza]

سلام دوستان ، تعدادي تابع رو ديدم كه براي جلوگيري از حملات اس كيو ال استفاده مي شه !
بهتره از كدوم تابع استفاده كنيم !
ممنون مي شم راهنمايي بفرماييد !

$username = mysqli_real_escape_string( $GET['username'] );

<?php
function sql_quote( $value )
{
    if( get_magic_quotes_gpc() )
    {
          $value = stripslashes( $value );
    }
    //check if this function exists
    if( function_exists( "mysql_real_escape_string" ) )
   {
          $value = mysql_real_escape_string( $value );
    }
    //for PHP version < 4.3.0 use addslashes
    else
    {
          $value = addslashes( $value );
    }
    return $value;
}
?>

 

[foranyone]

کاش به جا سه تا تاپیک زدن یکی می زدین تا کامل اونجا بحث میشد ! هرچند که این مطالب رو سرچ هم می کردید میشد پیدا کرد !

اینجا انجمن هک نیست و هیچکی روش هک کردن رو نمیگه و تو این انجمن هدف پیشگیریه !

شما اولا به جا GET از REQUEST استفاده کنید

و از این دو تا تابع :

addslashes

mysql_real_escape_string

 

[parsiteam]

دومی کاملتره . من باشم دومی رو استفاده میکنم . درضمن کار خوبی کردی سوال کردی عزیزم . هیچوقت از پرسش نترس هرچند تکراری . قابل توجه بعضیا که همیشه آیه ی یأس هستن !!!!!!!

 

[k2-4u]

این هم یکی دیگه
که YPY گذاشته خیلی کامل و عالیه

if($Bln_IsConnection) 
{ 
if(get_magic_quotes_gpc()): function_exists('mysql_real_escape_string') ? @stripslashes(@mysql_real_escape_string($Str_Input)) : @stripslashes(@mysql_escape_string($Str_Input)); 
else: function_exists('mysql_real_escape_string') ? @addslashes(@mysql_real_escape_string($Str_Input)) : @addslashes(@mysql_escape_string($Str_Input)); 
endif; 
};

http://forum.majidonline.com/showthread.php?p=752626#post752626

 

[Mohammadreza]

ممنون از هر سه دوست عزيز بخصوص پارسيتيم عزيز !

اینجا انجمن هک نیست و هیچکی روش هک کردن رو نمیگه و تو این انجمن هدف پیشگیریه !

foranyone سوال من امنيتي بود ! ( پيشگيري )

کاش به جا سه تا تاپیک زدن یکی می زدین تا کامل اونجا بحث میشد !

اگه اين كار و كرده بودم افرادي بودند كه مي گفتند سه تا سوال رو بايد توي سه تا تاپيك مطرح مي كردي !

شما اولا به جا GET از REQUEST استفاده کنید

چرا ؟

 

[foranyone]

دومی کاملتره . من باشم دومی رو استفاده میکنم . درضمن کار خوبی کردی سوال کردی عزیزم . هیچوقت از پرسش نترس هرچند تکراری . قابل توجه بعضیا که همیشه آیه ی یأس هستن !!!!!!!

دومی به تنهایی نمیتونه موثر باشه یه جایی تو همین انجمن نوشته شده بود که قابل نفوذ هست و بای پس میشه .

منم مخالف سوال پرسیدن نیستم فقط اینجوری بحث جمع و جور تر میشه و اشتباهی برداشت نمیکنن !

اون دوتای قبلی رو نگاه کنین مباحث داره تکراری پیش میره ! خودتون قضاوت کنین حق با کیه

چون شما گفته بودین : راه تزريق دستور به اس كيو ال چیه ؟ من گفتم اینجا انجمن هک نیست !

جناب نوبخت معذرت میخوام که آیه یاس هستم همیشه !!

دلیل استفاده از $_REQUEST هم اینجا بحث شده اینا رو بخونین خیلی مفیدن :

اصول برنامه نویسی یک

اصول برنامه نویسی دو

اصول برنامه نویسی سه

موفق باشید