Der er tydelige trusler, du (sandsynligvis) taler om her:
- Du skal sanere data, der indsættes i databasen for at undgå SQL-injektioner .
- Du skal også være forsigtig med de data, der bliver vist til brugeren, da de kan indeholde ondsindede scripts (hvis de er indsendt af andre brugere). Se Wikipedias indlæg for scripting på tværs af websteder (også kaldet XSS)
Hvad der er skadeligt for din database, er ikke nødvendigvis skadeligt for brugerne (og omvendt). Du skal tage dig af begge trusler i overensstemmelse hermed.
I dit eksempel:
- Brug mysqli::real_escape_string () på de data, der indsættes i din db (sanering)
Du vil sandsynligvis bruge renseren før dataindsættelse - bare sørg for, at den er "renset", inden brugeren får den.
Du skal muligvis bruge striplashes
() på data hentet fra db'en for at vise dem korrekt til brugeren, hvis magic_quotes er tændt