Заголовок



php избежать внедрения sql-кода, безопасность

mysql_real_escape_string


Указатели места заполнения

PREPARE statement FROM "INSERT INTO classics VALUES(?,?,?,?,?)";

SET @author = "Emily Brontл",

@title = "Wuthering Heights",

@category = "Classic Fiction",

@year = "1847",

@isbn = "9780553212587";

EXECUTE statement USING @author,@title,@category,@year,@isbn;

DEALLOCATE PREPARE statement;


--------------------------------------------------------------------------------------------------------

php избежать внедрения html-кода, безопасность

htmlentities

 

--------------------------------------------------------------------------------------------------------

php обезвреживание безопасность

<?php

function sanitizeString($var)

{

$var = stripslashes($var);

$var = htmlentities($var);

$var = strip_tags($var);

return $var;

}


function sanitizeMySQL($connection, $var)

{ // Использование расширения mysqli

$var = $connection->real_escape_string($var);

$var = sanitizeString($var);

return $var;

}

?>


$var = sanitizeString($_POST['user_input']);

$var = sanitizeMySQL($connection, $_POST['user_input']);