htmlspecialchars html kodlarını engellemek içindir. Yani atıyorum bi yorum sistemi kullanıyorsanız, bunu kullanmak zorundasınız ki gelen yorumlarda meta refresh gibi kodlarla sitenizi yönlendirmeinler.
mysql_real_escape_string ise posttan aldığınız eviyi mysql'kaydederken veyahut veri çekerken sql injection açığı olmaması için tırnakların yananı slash koyan bir fonksiyondur.
Demek istediğim; ikisinden birini kullanıyorsam diğerini kullanmayayım deme. İkisininde görei farklı. Gelen veriyi veritabanına kaydederken bu iki fonksiyondan da geçir
mysql_real_escape_string ise posttan aldığınız eviyi mysql'kaydederken veyahut veri çekerken sql injection açığı olmaması için tırnakların yananı slash koyan bir fonksiyondur.
Demek istediğim; ikisinden birini kullanıyorsam diğerini kullanmayayım deme. İkisininde görei farklı. Gelen veriyi veritabanına kaydederken bu iki fonksiyondan da geçir
Teşekkür ederim. Bu epey açıklayıcı oldu benim için.
strip_tags ile kullanabilirsin veya sayfanın başına şunu ekle;
Hiç zorlanmadan tüm POST ve GET değerlerinin mysql_real_escape_string ile kontrol edilmesini ve temizlenmesini sağlarsın. En azından benim PHP kitabım öyle yap diyor :) (A'dan Z'ye PHP)
$_GET = array_map('mysql_real_escape_string',$_GET);
$_POST = array_map('mysql_real_escape_string',$_POST);
Hiç zorlanmadan tüm POST ve GET değerlerinin mysql_real_escape_string ile kontrol edilmesini ve temizlenmesini sağlarsın. En azından benim PHP kitabım öyle yap diyor :) (A'dan Z'ye PHP)
Bende aynı kitabı kaynak olarak kullanıyorum ama epey kalın bir kitap gözümden kaçmış demekki. Teşekkürler.