ציטוט:
נכתב במקור על ידי The Chosen Generl
אני לא יודע מה אתה יודע שאני לא יודע אבל אני למדתי שאם אני אשים קוד שכזה:
PHP קוד:
SELECT * FROM admin WHERE name='$post_name', pass='$post_pass'
ניתן יהיה בקלות להזריק דרך הpost קוד כמו ' or a='a וזה פשוט עוקף את זה. אז אמרתי לעצמי, למה לא לעשות את האימות בPHP שזה השוואה של שתי מחרוזות? זה הרבה יותר מאובטח ככה.
חוץ מזה לא ראית מערכת, ראית קטע קטן ממערכת. ולפי מה זה לא נקי ולא מסודר? אתה לא מסביר אתה מה שאתה אומר, במיוחד שזה לא נכון. הקוד שלי דווקא כן מסודר, ולזה אני מודע בוודאות. |
אתה אמור לאבטח את המשתנים לפני שהם מגיעים לשאילתה..
במקרה הנוכחי, mysql_escape_string יספיק.