Merhaba arkadaşlar, bu yazımda php'de güvenlik açısından büyük önem taşıyan fonksiyonlardan biri olan, mysql_real_escape_string() nedir ve nasıl kullanılır bunu anlatacağım.
Projelerimizde sql_injection açıklarından korunmak için bazı önlemler almamız gerekmektedir.Yani örneğin bir kullanıcı girişinde eğer girilen kullanıcı adı ve şifresini bi filtreden geçirmezsek bu bazı kişilerce suistimal edilebilir.Bir kod parçacığı ile bir şekilde müdahalelerde bulunulabilir.
Bununla birlikte daha önce bahsettiğim strip_tags() fonksiyonunu'da inceleyebilirsiniz.Extra güvenlikler iyidir.
Hadi gelin POST ve GET ile gelen bir kullanıcı adını mysql_real_escape_string() fonksiyonundan geçirelim.
$kullanici_adi = mysql_real_escape_string($_POST['kullanici_adi']);
Evet yukarıda gördüğünüz şekilde fonksiyonumuzu kullanabiliriz.Böylelikle bir kod gibi şeyler gönderilirse kullanıcı tarafından, mysql_real_escape_string() fonksiyonumuz onları filtreden geçirip temiz bir şekilde verinin gelmesini sağlar.
İ.DUZ
7 yıl önceTeşekkürler
Nejdet Acar
5 yıl öncemysql_real_escape_string() fonksiyonunu kullanmadan önce veritabanına bağlantı yapmamız gerektiğini de makalenizin uygun bir yerine eklerseniz yeni PHP cileri uğraştırmamış oluruz. Çünkü sunucuların verdiği hatalarda açıkça yazmadığı için bunun gerekliliğini anlamak pek kolay olmuyor. Şahsen ben PHP ye ilk başladığım yıllarda bunu kullanırken sık sık veritabanı bağlantısını unutur dakikalarca kodun neden çalışmadığını arar dururdum. Aslında kod çalışır da bazı string lerde istenen işlemi tam olarak yapmayabiliyor. Saygılar, Hörmetler...
isimsizler
5 yıl önceSayın NEJDET ACAR, veri tabanı bağlantısınıda unutuyorsanız bırakın bu işleri kardes
Nejdet Acar
5 yıl önceOkumadan hemen cevaba sarılmayalım lütfen, okuyanlara ayıp oluyor...