Postingan lainnya
Jelaskan maksud dari coding ini
//Saya nonton tutorial membuat blog dengan PHP dan mysql, tapi gak ngerti di bagian basic security :
function ecape($data){ global $link ; //sambungan ke database
return mysqli_real_escape_string($link,$data) }
//kemudian di panggilnya begini :
$judul = escape($judul);
//bukannya parameter function escape itu $data? jadi bingung sendiri, mohon bantuannya.
3 Jawaban:
saya juga baru belajar gan.. klo pemahaman saya gini : semisal $judul= kacang
ketika dipanggil $judul = escape($judul);
maka akan mengaktifkan/memanggil function escape (kacang) nah 'kacang' ini akan dimasukkan dalam variabel $data. dan dikembalikan dengan nilai : Mysqli_real_escape_string($link,kacang)
jadi ketika ada penulisan: $judul=escape($judul) maka berarti : $judul=mysqli_real_escape_string($judul)
*menambahkan text mysqli_real_escape_string
contoh lagi : $judul = 'select * from buah'; $judul=escape($judul) maka berarti kan gini :
$judul = escape('select * from buah')
dan akan memanggil function/mengaktifkan function escape($data): nah $data ini akan diisikan nilai dari text yang diisikan dari nama function yaitu escape('select * from buah') dan akan dikembalikan nilainya menjadi mysqli_real_escape_string('select * from buah')
sehingga $judul = mysqli_real_escape_string('select * from buah') ;
Semoga mendapat pencerahan gan...
dari contoh mas diatas, $data merupakan parameter dan parameter itu nanti yang akan menentukan isi $data untuk di proses dengan pengembalian nilai escape_string "/".
kenapa manggilnya $judul = escape($judul) ?? kenapa tidak escape($data) ?? $data adalah parameter penghubung ke fungsi didalam fungsi tersebut, jadi ketika kita nnti menggunakan $judul dengan isi 123 kita funtion kan menggunakan perintah $judul=escape($judul), maka $judul = $data, bedanya $data adalah parameter ke fungsi dengan tujuan data itu diolah lagi. ada juga funtion yang tidak make parameter, jadi kalo mau escpae langsung $pass=mysqli_real_escape_($_POST['pass']); dan di query misal SELECT * from user WHERE pass='$pass'.
funtion login($user, $pass){
$username = mysql_real_escape($user);
$passuser = mysql_real_escape($pass);
$queryData = mysql_fetch_array(mysql_query("SELECT * from user WHERE user='".$usernae."' AND pass='".$passuser."'"));
if($queryData){
.....................
}
}
lalu kita bikin inputan seperti ini misal :
<form action="" method="POST">
<input type="text" name="nama">
<input type="password" name="pass">
<button name="login">Login</button>
</form>
setelah itu kita bikin kondisi cheking/validasi server:
if(isset($_POST['login'])){
login($_POST['nama'], $_POST['pass']);
}
Semoga dari sample itu bisa dipahami ;)