Arkadaşlar,
$_POST veya $_GET ile aldığım bir parametreyi SQL'de kullanmam ve ekrana
yazdırmam gerekiyor.
Aşağıdaki kadar işlem hack yememek için sizce yeterli olur mu?
$_GET['bolumadi'] = *striptags*($_GET['bolumadi']);
echo $_GET['bolumadi'];
$SQL = sprintf(select * from xxx where yyy = '%s'
Şimdiye kadara sadece addslashes kullandım. zaten sqli bozacak olan sadece
tek tırnak olayı (String değerlerde) olduğu için bu yeterli oluyor
zannedersem. Sayısal değerlerde $id = (int) $_GET['id']; veya $toplam =
(float) $_GET['toplam']; gibi filtreyi kullanmanız gerek. daha kolay ve
güvenli