Php ile mysql_real_escape_string

[mTanriverdi]

Php ile yaptığımız projelerde sql_injection açıklarından korunmak için bazı fonksiyonları kullanmamız gerekmektedir. Konuya şu şekilde örnek vermek gerekirse üye giriş alanınız var ve üye girişi yaparken üye adı yerine tüm üyeleri ve şifreleri gösterecek bi kod parçası yazarsa, tüm bilgileriniz karşı tarafın eline geçmiş olacaktır. Bunun içn mysql_real_escape_string() fonksiyonunu hep beraber incelemeye alacağız.
Şimdi POST metodu veya GET metodu ile gelen veriyi mysql_real_escape_string ile temizleyelim.
$kullanici_adi = mysql_real_escape_string($_POST['kullanici_adi']);

Bakın yukarıdaki örnekte kullandığımız gibi yapmanız yeterlidir.

Bu fonksiyonu kullanabilmeniz için projenizde mysql bağlantısının olması gerekmektedir.
​

 

[sdelta]

Tek başına yeterli olmamakla birlikte olmazsa olmaz bir fonksiyondur. Beraberinde trim ve kendi yazdığınız özel html karakterleri süzen bir fonksiyon daha tavsiye edilir. Ayrıca aldığınız değer yanlızca sayı olacak ise mesela sayı olup olmadığına dair ayrı bir kontrol daha yapmanız, güvenliği iyice artıracaktır. En önemlilerinden biride textboxlara gerektiği kadar karakterlik sınırlama yapın, sınırsız olmasın. Sınırlı bir alan sunarsanız textbox üzerinden saldırıda kullanılacak tüm sql komutlarını gönderemezler.

 

[mTanriverdi]

Tabiki tek başına yeterli olmaz. Zaten konu sadece mysql_real_escape_string üzerine ayrıca yeni yazdığım http://forum.shiftdelete.net/programlama/191979-php-strip_tags-kullanimi.html safasındaki makaledede strip_tags() hakkında bilgi vermekte.