2 سوال در مورد امنیت

[miladanimator]

...

...

 

[k2-4u]

1- آیا برای ایمن سازی مقادیر عددی که توسط GET دریافت می کنیم ، استفاده از دستور intval کفایت می کنه ؟؟؟ و یا باید موارد دیگری هم در نظر گرفت ؟؟؟

باید طول .عدد رو هم کنترل کنید (strlen)

query="select * from mytable where user=$username"
و یا

query="select * from mytable where user='{$username}'"

در این مورد از {} سرم در نیومد ولی
100% از کوتیشن یا دابل کوتیشن استفاده کنید خظر تزریق
دلیلشم اینه که میشه داخل کوئری از عملگر استفاده کرد مثلا M and a