version for the right syntax to use near 'XSS')')' at line 2
Waduh, Nah itu bisa banget dimanfaatin untuk tipe serangan yang bernama SQL Injection... Apaan tuh?
Googling atuh Bro....
Untuk bagaimana pengamanannya banyak banget caranya...Ada perintah mysql_real_escape_string yang
berguna untuk menonaktifkan karakter-karakter khusus atau perintah SQL Injection yang dibaca oleh MySql,
magic_quote_gpc, addslashes, dan masih banyak lagi...
Nah disini kita akan mencoba fungsi mysql_real_escape_string... Jadi karakter single quote akan dibaca sebagai
karakter teks biasa...
Sebenernya menggunakan ereg_replace() pun bisa...
$txtPesan = ereg_replace('&','&',$txtPesan); // mengganti & dengan &
$txtPesan = ereg_replace('"','"',$txtPesan); // mengganti " dengan "
$txtPesan = ereg_replace("'",'’',$txtPesan); // mengganti ' dengan ’
Tapi bosen kan, cari yang baru...
Langsung aja buka input_bukutamu.php dan edit lagi
$txtNama
$txtEmail
$txtPesan
=
=
=
trim(strip_tags($_POST['txtNama']));
trim(strip_tags($_POST['txtEmail']));
trim(htmlentities($_POST['txtPesan']));
Jadi seperti berikut
$txtNama
$txtEmail
$txtPesan
Pas dicoba
=
=
=
trim(strip_tags(mysql_real_escape_string($_POST['txtNama'])));
trim(strip_tags(mysql_real_escape_string($_POST['txtEmail'])));
trim(htmlentities(mysql_real_escape_string($_POST['txtPesan'])));