[agresif]

Aşağıdakileri kullanarak veriyi güvenli bir şekilde formdan almak, veritabanına kaydetmek ve kullanmak için en doğru yol nedir?

* get_magic_quotes_gpc()

* mysql_real_escape_string()
* htmlentities()
* addslashes()
* stripslashes()
* htmlspecialchars()
* html_entity_decode()
* urlencode()

Bu kadar çok seçenek olunca kafam karıştı. Haksız mıyım?

[BYK]

Haksızsın

Fonksiyonların tam olarak ne yaptıklarını PHP manual'dan okurasan hangisini kullanman gerektiğini, bu listedeki bazılarının yapmak istediğin şeyle alakası olmadığını anlarsın

[agresif]

Teşekkür ederim.

[soul]

Aslinda haklisin bunun ana nedenlerinden biri PHP nin bir is icin 20 tane fonksiyon sagliyor olmasi, ya da bir fonksiyon yazip sonradan onu eksik yazdiklarini farkedip eskisini tutup yenisini eklediklerinden dolayi boyle oluyor.

Her ne kadar listenin bir kismi gercekten de dedigin sey ile alakasiz olsa da

Ozetle,
MySQL e data girerken : mysql_real_escape_string() (mumkunse prepared statementlar daha iyidir)
Sayfaya data yazarken : htmlentities()

islem bu kadar.

magic quotes' un da ayarlarda disable oldugundan emin ol.

[BYK]

Yeri gelmişken bir soru da ben sorayım.

PHP ile sürekli bir çalışmam olmasa da neyin ne olduğunu bilecek kadar da kullanmışlığım var. Aklıma takılan şu ki magic_quotes özelliği neden geliştiriciler tarafından pek sevilmiyor ve neden PHP 5'te varsayılan olarak kapalı geldi.

Güvenliğe neredeyse hiç önem vermeyen kişilere bile SQL Injection ataklarına karşı koruma sağlıyor olması ve parametreleri program içinde kontrol etme zahmetinden kurtarması açıkçası hoşuma gitmişti benim

[agresif]

Kabul ediyorum listenin daha uzun olması hoşuma gitmişti.

@byk : belkide programcıların artık daha bilinçli kod yazması gerektiği düşünülmüştür. belki.

@soul : istediğim tam olarak buydu. sizin önerileriniz. teşekkür ederim.