데이터베이스 공격 방지

Question

데이터베이스 공격을 막기 위해 get_magic_quotes_gpc를 사용하는 것이 여전히 관련이 있습니까? 마법 따옴표가 활성화 된 경우 추가 슬래시를 제거하려고했습니다.

if(get_magic_quotes_gpc()){ 
    If magic quotes is enabled, strip the extra slashes 
    array_walk_recursive($_GET,create_function('&$v,$k','$v = stripslashes($v);')); 
    array_walk_recursive($_POST,create_function('&$v,$k','$v = stripslashes($v);')); 
} 

필자는 php 설명서를 살펴본 후이 설명서가 더 이상 사용되지 않음을 확인했습니다. 나는 내가 사용할 수있는 대안이 무엇인지, 또는 내가 모를 때 비틀기가 있을지 모른다는 것을 확신하지 못한다. 왜냐하면 나는 여전히 프로그래밍과 다른 코딩 기술을 배우는 것에 익숙하지 않기 때문이다. 모든 팁 크게

에게

Answer 1

사용이

function mysql_prep($value) 
{ 
    $magic_quotes_active = get_magic_quotes_gpc(); 
    $new_enough_php = function_exists("mysql_real_escape_string"); 
    if ($new_enough_php) { 
     // undo any magic quote effects so mysql_real_escape_string can do the work 
     if ($magic_quotes_active) { 
      $value = stripslashes($value); 
     } 
     $value = mysql_real_escape_string($value); 
    } else { 
     // if magic quotes aren't already on then add slashes manually 
     if (!$magic_quotes_active) { 
      $value = addslashes($value); 
     } 
     // if magic quotes are active, then the slashes already exist 
    } 
    return ($value); 
} 

난 당신이 prepared statement

$q=$pdo->prepare("query where id=:id"); 
$q->execute(array(":id"=>1))