[ino_ot$]

biasanya sich ane masukin 3 script untuk mencegah itu semua . seperti ini om

$kode=htmlspecialchars(mysql_real_escape_string(stripslashes($_POST['kode'])));

itu untuk mysqli or gmana om uni ?? :v

[Clound_Carbelius]

izin nyimaxx.. :-bd :-bd

[r14n]

fungsi abs() digunakan untuk menghilangkan tipe data minus dan int ,mengubah tipe data menjadi integer (hanya mengijinkan tipe data integer). jadi ketika variabel id pada url di rubah secara manual dan diisi dengan sintak sql yang berupa string maka tetap dibaca 0.

[abdilahrf]

judul nya harusnya protect sqlinjecion and xxs :-bd

prevent itu apa?? coba deh cari tau artinya

Hehehe iya :v
prevent

[Junior Riau]

mysqli dengan mysql beda dikit, cuma ada i nya saja

[Andi Andi]

dah ane coba save php di notepad. tapi gak bsa buat nyekan dorknya bro. gimana yah ?

[Shadow_]

nyimak, ngga bisa apa apa tentang web-web an :'(

[dharaninja]

Sorry bg, bukan bermaksud ngajarin ane juga masih belajar. Buat cegah SQL Injection mysqli_real_escape_string atau mysql_real_escape_string udah gak aman lagi kang. Untuk handlenya ada cara yang lebih canggih pake prepared statement buat cegah sql injection. Misal

PHP Code:

<?php
$con = new MySQLi('dbhost','username','password','namadatabase');
$login = $con->prepare('SELECT * FROM admin WHERE username = ? AND password = ?');
$login->bind_param('ss',$_POST['username'],$_POST['password']);
$login->execute();
$login->store_result();
?>

Itu contoh prepared statement untuk halaman login, untuk ss di bind_param artinya string input ada 2. Nanti tinggal check num rows pake $login->num_rows;

CMIIW