Istnieją różne zagrożenia, o których (prawdopodobnie) mówisz tutaj:
- Musisz oczyścić dane wstawiane do bazy danych, aby uniknąć wstrzyknięć SQL .
- Musisz także uważać na dane wyświetlane użytkownikowi, ponieważ mogą one zawierać złośliwe skrypty (jeśli zostały przesłane przez innych użytkowników). Zobacz wpis Wikipedii dotyczący skryptów między witrynami (aka XSS)
To, co jest szkodliwe dla Twojej bazy danych, niekoniecznie jest szkodliwe dla użytkowników (i vice versa). Musisz odpowiednio zająć się obydwoma zagrożeniami.
W twoim przykładzie:
- Użyj mysqli::real_escape_string () na danych wstawianych do bazy danych (odkażanie)
Prawdopodobnie chcesz użyć oczyszczacza przed wstawieniem danych - po prostu upewnij się, że jest "oczyszczony" przed otrzymaniem go przez użytkownika.
Być może będziesz musiał użyć striplashes
() na danych pobranych z bazy danych, aby poprawnie wyświetlić je użytkownikowi, jeśli magic_quotes są włączone
