POST GET yada REQUEST leri kontrol etmelisiniz.
direk alınıp kullanılmışsa sıkıntılı
SELECT fields FROM table WHERE id = "$_POST['id']";
bu tarz kullanımlarda post alanına
//post ettiği id 1; TRUNCATE TABLE table
SELECT fields FROM table WHERE id = 1; TRUNCATE TABLE table
//tablo temizlendi
tüm requesti mysql_real_escape_string ile süzmelisiniz.
SELECT fields FROM table WHERE id = mysql_real_escape_string($_POST['id']);
sql injection yada xss için kullanabileceğinzi diğer fonksiyonlar htmlspecialchars strip_tags
dosyaların indirme linkini koydum sistem dosyasının içine bakarmısınız
kullanmı şöyle
## Post Security Function ##
function p($par){
return mysql_real_escape_string(trim(strip_tags($_POST[$par])));
}
## Get Security Function ##
function g($par){
return strip_tags(rtrim($_GET[$par]));
}