پاسخ : SQL Injection Defence
ممنون
كاش كدها رو در بلوك كد php مي ذاشتيد تا بهتر مشخص باشند
يا اينكه الان كه رنگيشون كرديد ، چپ چين كنيد
با اجازه منم يك نكته رو اضافه كنم!
موقع اتصال يك يوزر به يك ديتابيس ، اكثرا تا جايي كه ديدم فوري روي تيك all privilages كليك مي كنن و همه دسترسي ها رو به يوزر مي دند...
در واقع اين كار يك اشتباه محض ـه ! ما بايد بسته به نيازي كه داريم اختيارات رو به يك يوزر بديم.
مثلا در يك سايت كه فقط قرار هست اخبار نمايش داده بشه تنها قابليت SELECt كافيه...
چون اگه حتي ورودي ها فيلتر نشده باشند كار زيادي از دست كاربر بر نمياد...
ولي اگه ورودي ها فيلتر نشده باشند و پرميشن هاي بيشتري مثل DELETE،UPDATE,INSET,INDEX,DROP و و.... فعال باشه كاربر مي تونه اعمال مخربانه تري رو انجام بده...
از طرفي در بخش مديريت ممكنه نياز به پرميشن هاي بيشتري داشته باشيم! معمولا براي بخش مديريت سايت هاي شخصيم يك يوزر جدا در نظر مي گيريم كه اختيارات بيشتري داره و از طرفي با خود سي پنل يا ... دسترسي رو محدود تر مي كنم . اينجوري اگه حتي در كد نويسي هم مشكلاتي رو داشته باشم به راحتي قابل نفوذ نيست!
پاسخ با نقل قول