Aşağıda ki fonksiyonum ile güvenlik açıklarından bir nebze olsa kurtulabilirsiniz.rnKodlar bozuk çıktığı için şu adrese yükledimrnwww.fordivum.com/guvenlik.txt
=;,,,,,,,,,,,,,,,,,,,'as
Bu konu Culum tarafından düzenlendi(2010-12-16 18:45, 13 yıl önce)
her sql sorgusunda bu fonksyonu çalıştırmak çok mantıksız. facebookun bu kodu kullandığını düşünsene? sayfa çağırma başına 0.1 ms bile eklese ki orda 7-8 farklı fonksyon görüyorum sistemi aşırı derecede yoracaktır.
Ayrıca bu attığın kod sql injection engeli için demek istemişsin. XSS olayı tamamen farklı.
Bir de sql injection öyle sadece tırnak işaretini kullanarak yapılan bir olay değildir. Sorgu içerisinde sorgular, sql bypasslar, sorgu içerisinde veri yazdırma gibi bir çok yöntemi vardır.
mysql_real_escape_string tek başına yeterlidir. diğerlerini kullanman sistemi yorar ki mysql bağlantısı yaparken native mysql kullanmanı tavsiye etmem
mysqli'yi araştır hem obje tabanlı programlamada kolaylık sağlar
Arada ki "strip_tags ve html_special_chars url encode ve xss açıkları için yeterlidir.Facebook böyle bir fonksiyon v.b kullanmaz tabi ki "C" ile yazılmış birbirinden farklı onlarca fonksiyon ve bileşen olduğu söyleniyor.Zaten fbml v.b için sadece php yeterli değildir.Bu fonksiyonu toplu olarak verdim bu fonksiyon yerine;
Sql bağlantılarında sadece mysql_real_escape_string ve str_replace yeterli olacaktır.
Xss ve url encode gibi sorunlar içinde html_special_chars ve strip_tags yeterli olacaktır.
Bunları ayrı kullanmak performans için daha sağlıklıdır.Fakat uğraşmak istemeyen ve büyük projeleri olmayanlar ise "Ultima online sunucuları" gibi bu fonksiyonu rahatlıkla kullanılabilir ki günümüzde bir ultima online sunucusunun "osi" dışı maksimumum 1000 oyuncusu var.
