07-30-2015, 04:46 PM
Sorry bg, bukan bermaksud ngajarin ane juga masih belajar. Buat cegah SQL Injection mysqli_real_escape_string atau mysql_real_escape_string udah gak aman lagi kang. Untuk handlenya ada cara yang lebih canggih pake prepared statement buat cegah sql injection. Misal
Itu contoh prepared statement untuk halaman login, untuk ss di bind_param artinya string input ada 2. Nanti tinggal check num rows pake $login->num_rows;
CMIIW
PHP Code:
<?php
$con = new MySQLi('dbhost','username','password','namadatabase');
$login = $con->prepare('SELECT * FROM admin WHERE username = ? AND password = ?');
$login->bind_param('ss',$_POST['username'],$_POST['password']);
$login->execute();
$login->store_result();
?>Itu contoh prepared statement untuk halaman login, untuk ss di bind_param artinya string input ada 2. Nanti tinggal check num rows pake $login->num_rows;
CMIIW
Jika kamu tidak sanggup menanggung lelahnya belajar, maka kamu akan menanggung perihnya kebodohan (Imam Syafii)