$title = addslashes($_POST['desc']);
$date = addslashes($_POST['date']);
yamasa tómendegi
$title = mysql_real_escape_string($_POST['desc']);
$date = mysql_real_escape_string($_POST['date']);
SQL hújimlerden qorǵanıwdıń jáne bir usılı bul kiriwshi maǵlıwmatlardı base64 kodirovkasına ótkeriw bolıp tabıladı. Base64 kodirovkası jámi 64 simvoldan ibarat bolıp, bularǵa latin alfavitindegi úlken kishi háripler, 0-9 shekemgi simvollar hám 2 arnawlı simvol kiredi. Bunı “Xabar” bóliminde kórip óteyik. Kirishi maǵlıwmatlar “savescrap.php” faylına jiberiledi. Onıń kodı tómendegishe:
include("dbconnect.php");
include("utils.php");
$x = mysqli_query($con, "SELECT * FROM scrap");
$value = $_POST['scrap'];
if(mysqli_num_rows($x) == 0) {
$q = "INSERT INTO scrap (`scrap`.`desc`) VALUES ('".$value."')";
$x = mysqli_multi_query($con, $q);
}
else {
$row = mysqli_fetch_array($x);
$ts = $row['timestamp'];
$q = "UPDATE scrap SET `scrap`.`desc`='".$value."'
WHERE `scrap`.`timestamp`= '$ts'";
$x = mysqli_query($con, $q);
}
if($x == 1) {
header('Location: index.php');
}
else {
echo('Error SQL injection!!!');
}
mysqli_close($con);
Bul SQL sorawlarǵa $value mánisin base64 formasında base64_encode funksıyasınan paydalanamız. Bunda kod tómendegishe ózgeredi:
include("dbconnect.php");
include("utils.php");
$x = mysqli_query($con, "SELECT * FROM scrap");
$value = base64_encode($_POST['scrap']);
Eger textarea maydanına tómendegishe xabar jibersek
Bizge juwap retinde tómendegishe tekst jiberiledi:
Jiberilgen tekstti túsinikli formaǵa alıp keliw ushın base64_decode funkcıyasınan paydalanamız.
SQL hújimlerden qorǵanıw ushın PHP tilinde maǵlıwmatlat bazasına múrajet qılıw processinde argumentlerdi baylanıstırıw metodıda kóp qollanıladı. Bunı “Esletpeler dizimi” bóliminde elementtegi Ózgertiw túymesi basılǵanda payda bolatın forma mısalında kórip shıǵayıq. Bul formanıń jańa element qosıw kodı “edit_todo_res.php” faylında jaylasqan.
Dostları ilə paylaş: |