mysqli_real_escape_string()
این متد از بهترین روشها برای رهایی یک رشته و یا داده ورودی توسط کاربر از کدهای مخرب sql است.
syntax
mysqli_real_escape_string( connection,escapestring )
همیشه پیش از استفاده یک داده دریافت شده از یک باکس ورودی و داده ای که توسط متد get دریافت می شود باید آنرا پاکسازی کرد.
با بررسی مثال زیر متوجه روش استفاده از این متد خواهید شد :
$con=mysqli_connect( "localhost" ,"user","pass ","my_db" ) ;
// Check connection
if mysqli_connect_errno($con))
{
echo "Failed to connect to MySQL: " . mysqli_connect_error() ;
}
$username = $_POST[ 'username' ];
$uname=mysqli_real_escape_string( $con,$username );
$q ="SELECT `id` FROM `tbl_user` WHERE `username`='$uname' " ;
$r =mysqli_query($con,$q) ;
$result =mysqli_fetch_assoc($r) ;
echo $result ;