جدول درس

آموزش پایه پائپ

• تدریس PHP
• مقدمه PHP
• نصب PHP
• قوانین PHP
• متغیرهای PHP
• Echo / Print پائپ
• نوع داده‌های PHP
• توابع رشته‌ای PHP
• متغیرهای دائمی PHP
• پس‌تن‌های PHP
• If...Else پائپ
• Switch پائپ
• تکرار While پائپ
• تکرار For پائپ
• توابع PHP
• آرایه‌های PHP
• ترتیب آرایه‌های PHP
• بالقوه پائپ

فرم پائپ

• پردازش فرم پائپ
• تأیید فرم پائپ
• فرم اجباری پائپ
• URL/E-mail فرم پائپ
• پایان فرم پائپ

آموزش پیشرفته پائپ

• آرایه‌های چندبعدی PHP
• تاریخ پائپ
• شامل پائپ
• پایپ فایل
• باز کردن/خواندن فایل پائپ
• ایجاد/نوشتن فایل پائپ
• آپلود فایل‌ها در PHP
• Cookies در PHP
• Session‌ها در PHP
• ایمیل پائپ
• ایمیل امن پائپ
• اشکال پائپ
• استثنا پائپ
• فیلتر پائپ

پایگاه داده پائپ

• مقدمه MySQL
• اتصال MySQL
• ایجاد MySQL
• درج MySQL
• انتخاب MySQL
• Where MySQL
• ترتیب MySQL
• به‌روزرسانی MySQL
• حذف MySQL
• ODBC پائپ

XML PHP

• پارسر Expat XML
• DOM XML
• ساده XML XML

پائپ و آکسجای

• مقدمه آکسجای
• XMLHttpRequest
• آکسجای پیشنهاد
• آکسجای XML
• آکسجای پایگاه داده
• آکسجای responseXML
• آکسجای جستجوی زنده
• آکسجای خواننده RSS
• آکسجای پول

دستورالعملهای PHP

• پائپ آرایه
• پائپ تقویم
• پائپ تاریخ
• پایپ دایرکتوری
• اشکال پائپ
• پایپ فایل سیستم
• فیلتر پائپ
• FTP PHP
• HTTP PHP
• LibXML PHP
• ایمیل PHP
• ریاضی PHP
• MySQL PHP
• MySQLi PHP
• SimpleXML در PHP
• رشته PHP
• XML PHP
• ZIP PHP
• متنوع‌های PHP
• مناطق زمانی PHP

مستندات PHP

• مستندات PHP

درس‌های انتخابی

پیشنهاد دوره:

• جعبه ابزار CodeW3C.com

تعریف و استفاده

توابع mysql_real_escape_string() کاراکترهای خاصی را در رشته‌ای که برای استفاده در SQL در نظر گرفته شده است، جلوگیری می‌کند.

کاراکترهای زیر تحت تأثیر قرار می‌گیرند:

• \x00
• \n
• \r
• \
• '
• "
• \x1a

اگر موفق شود، این تابع رشته‌ای که جلوگیری شده است را برمی‌گرداند. اگر شکست بخورد، false برمی‌گرداند.

نحوه استفاده

mysql_real_escape_string(string,connection)

شرح

این تابع string از کاراکترهای خاص جلوگیری می‌کند و به دلیل توجه به مجموعه کاراکترهای فعلی اتصال، می‌تواند به طور امن استفاده شود mysql_query().

توجه‌ها و نظرات

توجه:این تابع را می‌توان برای جلوگیری از حملات به پایگاه داده استفاده کرد.

مثال

مثال 1

<?php
$con = mysql_connect("localhost", "hello", "321");
if (!$con)
  {
  die('نتوانست متصل شود: ' . mysql_error());
  }
// کد برای دریافت نام کاربری و رمز عبور
// تبدیل نام کاربری و رمز عبور برای استفاده در SQL
$user = mysql_real_escape_string($user);
$pwd = mysql_real_escape_string($pwd);
$sql = "SELECT * FROM users WHERE
user='" . $user . "' AND password='" . $pwd . "'"
// کد بیشتری...
mysql_close($con);
?>

مثال 2

حمله به پایگاه داده. این مثال نشان می‌دهد که اگر ما از تابع mysql_real_escape_string() برای نام کاربری و رمز عبور استفاده نکنیم چه اتفاقی می‌افتد:

<?php
$con = mysql_connect("localhost", "hello", "321");
if (!$con)
  {
  die('نتوانست متصل شود: ' . mysql_error());
  }
$sql = "SELECT * FROM users
WHERE user='{$_POST['user']}'
AND password='{$_POST['pwd']}'";
mysql_query($sql);
// بررسی نام کاربری و رمز عبور انجام نمی‌شود
// می‌تواند هرگونه محتوای ورودی کاربر باشد، مانند:
$_POST['user'] = 'john';
$_POST['pwd'] = "' OR ''='";
// کد برخی...
mysql_close($con);
?>

پس جستجوی SQL به این شکل خواهد شد:

SELECT * FROM users
WHERE user='john' AND password='' OR ''=''

این بدان معناست که هر کاربری می‌تواند بدون وارد کردن رمز عبور معتبر وارد شود.

مثال 3

روش صحیح پیشگیری از حملات پایگاه داده:

<?php
function check_input($value)
{
// حذف مایلها
if (get_magic_quotes_gpc())
  {
  $value = stripslashes($value);
  }
// اگر عدد نیست، علامت نقل قول اضافه کنید
if (!is_numeric($value))
  {
  $value = "'" . mysql_real_escape_string($value) . "'";
  }
return $value;
}
$con = mysql_connect("localhost", "hello", "321");
if (!$con)
  {
  die('نتوانست متصل شود: ' . mysql_error());
  }
// انجام SQL امن
$user = check_input($_POST['user']);
$pwd = check_input($_POST['pwd']);
$sql = "SELECT * FROM users WHERE
user=$user AND password=$pwd";
mysql_query($sql);
mysql_close($con);
?>

ابزارخانه

دستورالعملهای PHP

مستندات PHP

لینکهای حامی