Salah satu cara pake parameter. SQL-nya jangan di-buat on the fly.
Saya kurang ingat syntax yang persis, tapi kurang lebih seperti ini:
$sql = "select * from members where name like :p_name"
$params = { 'p_name' : $HTTP_GET["input_name"] }
$cur->execute($sql, $params)instead of:
$sql = "select * from members where name like " . $p_name; $cur->execute($sql)
Maap kalo syntax-nya ngaco, kayanya keleru ama python. Soalnya lagi belajar python nih.
Dengan pake parameter, selain ngirit di prepare calls, ngirit SQL area di pake juga.
Mungkin yang lain ada ide juga.
Beast wrote:
bagaimana trik yg ampuh untuk menyiasati input-input nakal dr user yg dipost lewat web form? yg dilakuin selama ini hanya escape tanda kutip saja. barangkali ada tips yg lain? db yg dipakai oracle.
tks.
-- Berhenti langganan: [EMAIL PROTECTED] Arsip dan info: http://linux.or.id/milis.php
