Existují zřetelné hrozby, o kterých zde (pravděpodobně) mluvíte:
- Musíte dezinfikovat data, která se vkládají do databáze, aby se zabránilo vkládání SQL .
- Musíte být také opatrní s daty, která se uživateli zobrazují, protože mohou obsahovat škodlivé skripty (pokud byly odeslány jinými uživateli). Viz záznam Wikipedie o skriptování napříč weby (neboli XSS)
Co je škodlivé pro vaši databázi, nemusí nutně škodit uživatelům (a naopak). O obě hrozby se musíte postarat odpovídajícím způsobem.
Ve vašem příkladu:
- Použijte mysqli::real_escape_string () o datech, která se vkládají do vaší databáze (dezinfekce)
Pravděpodobně budete chtít čističku použít před vložením dat – jen zajistěte, aby byla „vyčištěna“, než ji uživatel dostane.
Možná budete muset použít striplashes
() na data získaná z databáze, aby se správně zobrazila uživateli, pokud magic_quotes jsou zapnut