گرفتن رشته از کاربر

[amirepsilon]

سلام
دوستان من برای امنیت سایتم وقتی رشته ای رو از کاربر دریافت میکنم تایع mysql_real_escape_string رو روش اجرا میکنم
اما چند سوال ؟
1. آیا فقط همین تابع کافیه ؟
2. این تابع با تابع addslashes چه فرقی داره ؟
3. من برای بازخوانی رشته از بانک به جای " کاراکتر "/ رو میبینم. باید چیکار کنم؟
ممنون

 

[felix]

سلام
دوستان من برای امنیت سایتم وقتی رشته ای رو از کاربر دریافت میکنم تایع mysql_real_escape_string رو روش اجرا میکنم
اما چند سوال ؟
1. آیا فقط همین تابع کافیه ؟
2. این تابع با تابع addslashes چه فرقی داره ؟
3. من برای بازخوانی رشته از بانک به جای " کاراکتر "/ رو میبینم. باید چیکار کنم؟
ممنون

1. آره
2. فرق زیادی ندارن(یا من در جریان نیستم)
3.

stripslashes($strtring)

مثال

$a="ali's";
$a=addslashes($a);//ali/'s
$a=stripslashes($a);//ali's

 

[Masoud1365]

اگر که magic quotes روی سرور تون فعال باشه نیازی به استفاده از این توابع نیت و مقادیری مثل ' یا " یا ... به صورت خودکار فیلتر میشه !
شما با استفاده از این تابع میتونید بفهمید که فعال هست یا نه ! ( معمولا روی اکثر سرورها فعاله ! )
تابع => get_magic_quotes_gpc()

 

[Domanjiri]

سلام

1. آیا فقط همین تابع کافیه ؟

برای وارد کردن دیتا به دیتابیس، بله! [ به عبارت دیگه این تابع از SQL injection جلو گیری میکنه، XSS injection موقع چاپ کردن اطلاعات فراموش نشه!]

2. این تابع با تابع addslashes چه فرقی داره ؟

این تابع از API خود MySQL استفاده می کنه و ممکنه در مواردی اون چیزی که MySQL امن میدونه با چیزی که addslashes خروجی میده کمی با هم تفاوت داشته باشند، مثلن نسخه ی جدید MySQL دیگه برای کوت ' اسلش ابتدای اون نمیذاره و..

کلن بهتره در این مورد از همین تابع استفاده کنی..

3. من برای بازخوانی رشته از بانک به جای " کاراکتر "/ رو میبینم. باید چیکار کنم؟

اینو هم که هم felix و هم مسعود عزیز توضیح دادن..

موفق باشی

 

[amirepsilon]

دوستان تابع stripslashes رو تست کردم و لی جواب نداد! همون رشته رو با / بر میگردونه

 

[felix]

دوستان تابع stripslashes رو تست کردم و لی جواب نداد! همون رشته رو با / بر میگردونه

خب چون کاربرد این تابع برای \ ه

 

[amirepsilon]

خوب من چیکار کنم برای " ؟؟!