Ce qui signifie, pour le moment, sont les plus sûrs pour filtrer les données dans php pour les envoyer à la base de données mysql.Comment faire pour échapper en toute sécurité les données d'entrée en PHP pour mysql
Merci, vous)
Ce qui signifie, pour le moment, sont les plus sûrs pour filtrer les données dans php pour les envoyer à la base de données mysql.Comment faire pour échapper en toute sécurité les données d'entrée en PHP pour mysql
Merci, vous)
Je crois
mysql_real_escape_string()
mysqli_real_escape_string() est la meilleure façon d'échapper à des données d'entrée
modifier plus tard puisque tout est dépréciée maintenant et l'information doit être valide:
Essayez d'utiliser PDO comme les instructions préparées sont beaucoup plus sûrs ou mysqli_*() functions si vous avez vraiment besoin de garder l'ancien code quelque peu à jour.
validMySQL($var) {
$var=stripslashes($var);
$var=htmlentities($var);
$var=strip_tags($var);
$var=mysql_real_escape_string($var);
return $var
}
Le code ci-dessus permet de désinfecter les données les plus invalides, rappelez-vous juste que vous avez à être connecté à la base de données MySQL pour mysql_real_escape_string travailler ...
Actuellement, la manière la plus préférée pour assurer votre sécurité est déclarations préparées.
exemple:
$preparedStatement = $db->prepare('SELECT * FROM memebers WHERE username = :username');
$preparedStatement->execute(array(':username' => $username));
$rows = $preparedStatement->fetchAll();
puis lors de l'affichage de vos données utilisent htmlspecialchars()
En plus des réponses ci-dessous, il vaut la peine de lire http://stackoverflow.com/questions/60174/best-way-to -stop-sql-injection-in-php – eggyal
Et si j'utilise le mysql_connect? – frops