_GET ile gelen ve _POST ile gelenlere escape html.. güvenliğini uyguluyorum
_SESSION'ada uygulamaya karar verdim
sorularım sunlar;
tablodan gelen şu tanımlamalara kullanmak gerekir mi örneğin
$AAA= $x["kolon2"]
yukarıdaki gelen veriyede escape sting şeklinde bir düzenleme gerekir mi?
$AAA , select * from içinde geçen sql queryde kullanılıyor ayrıca update de
Eğer AAA için escape kullanmak gerekiyorsa;
sadece sql bağlantısının yapıldığı yerlerde mi escape demek lazım yoksa normal update yada select from gelmeyen sadece <?=$AAA?> şeklinde kullanılan yerler için de escape demek gerekir mi?
***
diğer bir sorum inejction acığı olduğunda neler yapabilir, tüm veritebanımı kopyalar, değiştirir yada bilgisayara zararlı yazılım sokabilir mi ?
XSS 'de korunma yöntemleri veri tabanına kayıt sırasında değil, çıktı sırasında yapılmalıdır. Veri tabanına her zaman ham veri eklemek sağlıklıdır.
SQL Injection ile veri tabanınız silinebilir, kayıtlar değiştirilebilir ve kullanmış olduğunuz sunucuya dosya yüklemesi yapılabilir. Bu da tamamen sunucunun kontrolünü kaybetmenize sebep verir.
SQL sorgusu göndereceğiniz yerlerde escape (aynı kavramdan mı bahsediyoruz, emin değilim) kullanmanız mantıklıdır.