Sql İnjection Acıgı Nasıl Kapatılır?

regex ile süzme yapmanız yeterli,

sayıları : ([0-9]+)

sayı harf ve boşlukları : [^0-9A-Za-zİıçÇşŞğĞüÜöÖ[:space:]]

Kusuta bakmayın ama ya deneme yapmadan konuşuyorsunuz, yada php bilginiz yok.

addslashes fonksiyonunu kullandığınız zaman zararlı karakterler escape ediliyor!..

1. PHP de mysql_query içine 2 sql kodu yerleştirilemiyor (Select ile Drop sql kodunu ; ayırarak yazdım ve hata verdi.).
2. addslashess tek başına yeter. Neden mi ?
Örnek;

$veri="'' // \\ ' ' \" ";
echo addslashes($veri);

Görünüyor ki zararlı karakterleri escape etti ve verimiz ' ' arasından kaçamıyor.

İlk önce deneyin sonra cevap yazın. Boşuna mesaj kalabalığı oluyor

ben bu kodu include edersem sorun ortadan kalkarmi yani tesekkurler.

PDO Teknolojilerine geçersen açık maçık yemez. PDO'daki Prepare ve Execute fınksiyonlaarı açık oluşturabilecek her türlü sorguyu temizlemektedir. PHP'nin üreticileri de artık mysql ile başlayan fonksiyonları desteklemediklerini ve geliştirilmesinin durdurulduğunu söyledi. Bunun yerine mysqli yada PDO Kullanmayı öneriyorlar.

htmlspecialchars(mysql_escape_string(trim($_GET["id"]))) şeklinde yaparsanız hem xss hem sql'e karşı koruma sağlarsınız.

Sen yenisin galiba?

merak ettim prepare-execute ile yazılmış bir sorguda nasıl sql injection uygulanıyor. ? yeni sin yazacağınıza bildiğinizi yazar mısınız ?

Konu baya eski bilmiyorum sen ne düşünürsün

$id = htmlspecialchars(htmlentities(addslashes(trim($_GET["id"]))));

// mysql_li kullandığın için kısaca şunu yazabilirsin.
$id = mysql_escape_string($_GET["id"]);

/*
PDO, PDO, PDO !
*/