Проверка данных
В случае, когда данные получаются от пользователя и используются для работы с базой данных (записываются в нее, или получаются), всегда необходимо производить их проверку, иначе злоумышленнику будет очень просто взломать ваш сайт.
Для самой базовой проверки используются следующие функции:
mysql_real_escape_string($var);
htmlspecialchars($var);
strip_tags($var);
Используя эти функции, можно "продезинфицировать" массивы POST и GET таким образом, что на выходе мы получим единый массив DATA с очищенными данными:
function check_array($Array)
{
foreach($Array as $key=>$value)
{
$Array[$key]=mysql_real_escape_string($value); // экранируем спец символы
$Array[$key]=strip_tags($value); // удаляем не нужные теги
}
return $Array;
}
$DATA = check_array($_POST);
$DATA = check_array($_GET);
//-- производим операции с очищенными данными
$q = mysql_query("SELECT * FROM `users` WHERE `id`='$DATA[id]' ");
Ответ не помог? Задайте вопрос
тех. поддержке