Ce qui signifie, pour le moment, sont les plus sûrs pour filtrer les données dans php pour les envoyer à la base de données mysql.Comment faire pour échapper en toute sécurité les données d'entrée en PHP pour mysql
Merci, vous)
Je crois
mysql_real_escape_string()
mysqli_real_escape_string() est la meilleure façon d'échapper à des données d'entrée
modifier plus tard puisque tout est dépréciée maintenant et l'information doit être valide:
Essayez d'utiliser PDO comme les instructions préparées sont beaucoup plus sûrs ou mysqli_*() functions si vous avez vraiment besoin de garder l'ancien code quelque peu à jour.
validMySQL($var) {
$var=stripslashes($var);
$var=htmlentities($var);
$var=strip_tags($var);
$var=mysql_real_escape_string($var);
return $var
}
Le code ci-dessus permet de désinfecter les données les plus invalides, rappelez-vous juste que vous avez à être connecté à la base de données MySQL pour mysql_real_escape_string travailler ...
Actuellement, la manière la plus préférée pour assurer votre sécurité est déclarations préparées.
exemple:
$preparedStatement = $db->prepare('SELECT * FROM memebers WHERE username = :username');
$preparedStatement->execute(array(':username' => $username));
$rows = $preparedStatement->fetchAll();
puis lors de l'affichage de vos données utilisent htmlspecialchars()
En plus des réponses ci-dessous, il vaut la peine de lire http://stackoverflow.com/questions/60174/best-way-to -stop-sql-injection-in-php – eggyal
Et si j'utilise le mysql_connect? – frops