Php sql inekcije

Pozdrav svima,

Da li mi je ovo dovoljno da imam u sql upitu a da blokiram inekcije i sl.

… where NameMod = ‘".mysqli_real_escape_string($conn, $_GET[‘c’])."’ ";

Da li mogu mysqli_real_escape_string($conn, xxxxxx) koristiti i kod logina i obrade $_POST vrijednosti iz forme?

Hvala

^ Nikako nije dovoljno.
Vidi ovde (uz naglasak na Prepared Statements).

Znači mysqli_real_escape_string neće blokirati sve potencijalne riječi koje bi se mogle iskoristiti u inekciji?

Poenta mog odgovora je da treba da koristiš PDO, ostalo je lako izguglati.


Copyright © 2020 WM Forum - AboutContact - Sponsored by: Mydataknox & Webmaster.Ninja