همیشه پیش از درج داده های دریافتی در دیتابیس باید آنها را اعتبار سنجی کرد تا کدهای مخرب در صورت وجود فیلتر شوند.
در php ، متدهای زیر 5 کاراکتر را که ممکن است در کدهای مخرب و sql injection استفاده شوند را به نهادهای متناظر html تبدیل می کنند .
htmlspecialchars();
htmlentities();
کاراکترهایی که توسط این متدها فیلتر می شوند :
& , " , ' , > , <
syntax
htmlspecialchars( string,flog );
string: شامل داده ها و رشته هایی است که باید ایمن شوند.
flog : شامل خصوصیت های زیر است :
ENT_COMPAT : به صورت پیش فرض است و تنها دبل کوتیشن را کد می کند .
ENT_QUOTES : هم تک کوتیشن و هم دبل کوتیشن را کد می کند.
مثال :
پیش از استفاده از داده ورودی در یک کوئری برای درج در دیتابیس به این شکل کد می شود :
$user=$_POST['username'];
$user=htmlspecialchars($user ,ENT_QUOTES);
همچنین برای رمز گشایی در زمان فراخوانی اطلاعات ثبت شده از دیتابیس به این روش عمل می کنیم :
$user=htmlspecialchars_decode($res['user'] ,ENT_QUOTES);
برای کار با متد ()htmlentities نیز به همین روش عمل می کنیم .