Merhaba arkadaslar.
Formdan POST metoduyla aldigimiz bilgileri guvenlim amaciyla tirnaklari yok ederken ben addslashes kullaniyorum. Bu dogru bir mantik midir. Yoksa htmlspecialchars mi kullanmak gereklidir.
DB ye yazdirirken eger addslashes veya htmlspecialchars kullanmissam tekrar my_real_escape_string kullanmama gerek var midir ?
Simdiden tesekkurler.
Php ile tirnaktan kacis icin hangi yontem ? |
5 Mesajlar | 1.259 Okunma | ||
- Üyelik 18.04.2012
- Yaş/Cinsiyet 37 / E
- Meslek Web & Android Developer
- Konum
- Ad Soyad M** O**
- Mesajlar 423
- Beğeniler 60 / 44
- Ticaret 0, (%0)
- Üyelik 12.11.2012
- Yaş/Cinsiyet 37 / E
- Meslek Yazılım, Web Tasarım, Donanım
- Konum Adana
- Ad Soyad E** Ö**
- Mesajlar 170
- Beğeniler 52 / 28
- Ticaret 6, (%100)
Ben htmlspecialchars kullanıyordum. Sıkıntı yaşamadım. Diğer yöntemi hiç kullanmadım.
Teknoemin - Teknolojiyi Mıncıklayan Adam - www.teknoemin.com
- Üyelik 01.08.2012
- Yaş/Cinsiyet 30 / E
- Meslek Öğrenci / Php Developer
- Konum Yalova
- Ad Soyad ** **
- Mesajlar 174
- Beğeniler 64 / 45
- Ticaret 1, (%100)
htmlspecialchars html kodlarını engellemek içindir. Yani atıyorum bi yorum sistemi kullanıyorsanız, bunu kullanmak zorundasınız ki gelen yorumlarda meta refresh gibi kodlarla sitenizi yönlendirmeinler.
mysql_real_escape_string ise posttan aldığınız eviyi mysql'kaydederken veyahut veri çekerken sql injection açığı olmaması için tırnakların yananı slash koyan bir fonksiyondur.
Demek istediğim; ikisinden birini kullanıyorsam diğerini kullanmayayım deme. İkisininde görei farklı. Gelen veriyi veritabanına kaydederken bu iki fonksiyondan da geçir
mysql_real_escape_string ise posttan aldığınız eviyi mysql'kaydederken veyahut veri çekerken sql injection açığı olmaması için tırnakların yananı slash koyan bir fonksiyondur.
Demek istediğim; ikisinden birini kullanıyorsam diğerini kullanmayayım deme. İkisininde görei farklı. Gelen veriyi veritabanına kaydederken bu iki fonksiyondan da geçir
- Üyelik 04.07.2012
- Yaş/Cinsiyet 29 / E
- Meslek Öğrenci
- Konum Antalya
- Ad Soyad E** K**
- Mesajlar 563
- Beğeniler 111 / 121
- Ticaret 11, (%100)
strip_tags ile kullanabilirsin veya sayfanın başına şunu ekle;
Hiç zorlanmadan tüm POST ve GET değerlerinin mysql_real_escape_string ile kontrol edilmesini ve temizlenmesini sağlarsın. En azından benim PHP kitabım öyle yap diyor :) (A'dan Z'ye PHP)
$_GET = array_map('mysql_real_escape_string',$_GET);
$_POST = array_map('mysql_real_escape_string',$_POST);Hiç zorlanmadan tüm POST ve GET değerlerinin mysql_real_escape_string ile kontrol edilmesini ve temizlenmesini sağlarsın. En azından benim PHP kitabım öyle yap diyor :) (A'dan Z'ye PHP)
PHP Coder,
Kişisel Blog: http://evrimaltay.net
Kişisel Blog: http://evrimaltay.net
- Üyelik 18.04.2012
- Yaş/Cinsiyet 37 / E
- Meslek Web & Android Developer
- Konum
- Ad Soyad M** O**
- Mesajlar 423
- Beğeniler 60 / 44
- Ticaret 0, (%0)
htmlspecialchars html kodlarını engellemek içindir. Yani atıyorum bi yorum sistemi kullanıyorsanız, bunu kullanmak zorundasınız ki gelen yorumlarda meta refresh gibi kodlarla sitenizi yönlendirmeinler.
mysql_real_escape_string ise posttan aldığınız eviyi mysql'kaydederken veyahut veri çekerken sql injection açığı olmaması için tırnakların yananı slash koyan bir fonksiyondur.
Demek istediğim; ikisinden birini kullanıyorsam diğerini kullanmayayım deme. İkisininde görei farklı. Gelen veriyi veritabanına kaydederken bu iki fonksiyondan da geçir
mysql_real_escape_string ise posttan aldığınız eviyi mysql'kaydederken veyahut veri çekerken sql injection açığı olmaması için tırnakların yananı slash koyan bir fonksiyondur.
Demek istediğim; ikisinden birini kullanıyorsam diğerini kullanmayayım deme. İkisininde görei farklı. Gelen veriyi veritabanına kaydederken bu iki fonksiyondan da geçir
Teşekkür ederim. Bu epey açıklayıcı oldu benim için.
strip_tags ile kullanabilirsin veya sayfanın başına şunu ekle;
Hiç zorlanmadan tüm POST ve GET değerlerinin mysql_real_escape_string ile kontrol edilmesini ve temizlenmesini sağlarsın. En azından benim PHP kitabım öyle yap diyor :) (A'dan Z'ye PHP)
$_GET = array_map('mysql_real_escape_string',$_GET);
$_POST = array_map('mysql_real_escape_string',$_POST);
Hiç zorlanmadan tüm POST ve GET değerlerinin mysql_real_escape_string ile kontrol edilmesini ve temizlenmesini sağlarsın. En azından benim PHP kitabım öyle yap diyor :) (A'dan Z'ye PHP)
Bende aynı kitabı kaynak olarak kullanıyorum ama epey kalın bir kitap gözümden kaçmış demekki. Teşekkürler.
Konuyu toplam 3 kişi okuyor. (0 kullanıcı ve 3 misafir)