امنیت در php : فیلتر کدهای مخرب (sql injection)به نهادهای متناظر اچ تی ام ال

همیشه پیش از درج داده های دریافتی در دیتابیس  باید آنها را اعتبار سنجی کرد تا کدهای مخرب در صورت وجود فیلتر شوند.

در php ، متدهای زیر 5 کاراکتر را که ممکن است در کدهای مخرب و sql injection استفاده شوند را به نهادهای متناظر html تبدیل می کنند .

htmlspecialchars();

htmlentities();

کاراکترهایی که توسط این متدها فیلتر می شوند :

& , " , ' , > , <

syntax

htmlspecialchars( string,flog );

string: شامل داده ها و رشته هایی است که باید ایمن شوند.

flog : شامل خصوصیت های زیر است :

ENT_COMPAT : به صورت پیش فرض است و تنها دبل کوتیشن را کد می کند .

ENT_QUOTES : هم تک کوتیشن و هم دبل کوتیشن را کد می کند.

مثال :

پیش از استفاده از داده ورودی در یک کوئری برای درج  در دیتابیس به این شکل کد می شود :

$user=$_POST['username'];

$user=htmlspecialchars($user ,ENT_QUOTES);

همچنین برای رمز گشایی در زمان فراخوانی اطلاعات ثبت شده از دیتابیس به این روش عمل می کنیم :

$user=htmlspecialchars_decode($res['user'] ,ENT_QUOTES);

برای کار با متد ()htmlentities نیز به همین روش عمل می کنیم .


تمام حقوق مادی و معنوی این ساین متعلق به mojtaba khodadadi میباشد
  
2016 - 2020