Şimdiye kadara sadece addslashes kullandım. zaten sqli bozacak olan sadece tek tırnak olayı (String değerlerde) olduğu için bu yeterli oluyor zannedersem. Sayısal değerlerde $id = (int) $_GET['id']; veya $toplam = (float) $_GET['toplam']; gibi filtreyi kullanmanız gerek. daha kolay ve güvenli işlemler için MySQLi : http://www.php.net/manual/en/book.mysqli.php
PS: bir çok veri tabanı yönetim nesneleri (classes) bu güvenliği sizin çin daha etkin yapabilir. 2009/1/11 Nuri AKMAN <[email protected]> > Arkadaşlar, > > $_POST veya $_GET ile aldığım bir parametreyi SQL'de kullanmam ve ekrana > yazdırmam gerekiyor. > Aşağıdaki kadar işlem hack yememek için sizce yeterli olur mu? > > > $_GET['bolumadi'] = *striptags*($_GET['bolumadi']); > echo $_GET['bolumadi']; > $SQL = sprintf("select * from xxx where yyy = '%s' order by 1", * > mysql_real_escape_string*( $_GET['bolumadi'] )); > > Selamlar, > Nuri AKMAN > > _______________________________________________ > Linux-programlama mailing list > [email protected] > http://liste.linux.org.tr/mailman/listinfo/linux-programlama > > -- Elvin Şiriyev http://siriyev.net
_______________________________________________ Linux-programlama mailing list [email protected] http://liste.linux.org.tr/mailman/listinfo/linux-programlama
