لتقنب الحقن يجب القيام بفلترة المدخلات قبل حفظها بقاعدة البيانات
باستخدام () htmlspecialchars() / mysqli_real_escape_string
روابط مفيدة ..
لتقنب الحقن يجب القيام بفلترة المدخلات قبل حفظها بقاعدة البيانات
باستخدام () htmlspecialchars() / mysqli_real_escape_string
روابط مفيدة ..
لكن يبطل مفعول html وعند العرض من قاعدة البيانات لا تعمل بسبب تغير الترميز
وهل mysqli_real_escape_string لازال تعمل في الاصدارات الحديثه من php
لكن يبطل مفعول html وعند العرض من قاعدة البيانات لا تعمل بسبب تغير الترميز
الهدف من htmlspecialchars() ليس اكواد HTML بشكل مباشر بل الرموز < > التي قد تستخدم لزرع اكواد جافا سكريبت في قاعدة البيانات وبالتالي عرضها وتشغيلها علي الصفحة عند جلب البيانات من القاعدة و الرموز ' " والتي قد تستخدم للتلاعب او لحقن قاعدة البيانات باوامر SQL
وهل mysqli_real_escape_string لازال تعمل في الاصدارات الحديثه من php
اجل mysqli تعمل في الاصدارات الحديثة من PHP ،، بينما mysql هي التي تم الغاء دعمها منذ الاصدار PHP 7
التعليقات