str_replace kullanıp verileri db'ye yazdırırken hata alıyorum.

[eagle_one]

Kod:

if ($gonder) {

if ( $_POST['isim'] && $_POST['soyisim'] && $_POST['sifre'] && $_POST['mail'] ) {

@mysql_connect("localhost" , "root" , "şifrem" ) or die ("mysql'e bağlanılamadı");
@mysql_select_db ("db_ismi" ) or die ("mysql'i seçilemedi" ) ;

$isim = str_replace("<" , "&lt;" , "$isim" ) ;
$isim = str_replace(">" , "&gt;" , "$isim" ) ;

$veri = mysql_query("INSERT INTO deneme (isim,soyisim,sifre,mail) VALUES('$isim','$soyisim','$sifre','$mail')") ;

if ($veri) {

print "verileriniz işlenmiştir" ;
}
else {
print " verileriniz işlenemedi bir hata oluştu" ;
}
}
else {

print "eksik alan bırakmayınız" ;

}
}

else {

?>

forumun html kodları

<?php
}
?>

İstediğim şu ;

bu verileri db'ye yazdırırken "<" ve ">" karakterlerini &lt ve &qt 'ye dönüştürmesi... Text alanına <samet yazdığımda sorun yok , db'ye &ltsamet diye işliyor(sorunsuz şekilde) ama <samet> yazdığımda bu veriyi db'ye yazdıramıyorum. Sorun kelimenin sonundaki > karakteri ama bunu nasıl çözerim ?

Yardımınızı bekliyorum. Teşekkürler.

[enginna]

bu işlemi htmlspecialchars() fonksiyonu ile yapabilirsin.

[eagle_one]

Peki o zaman sql injection'dan korunurmuyum  ?

****************

htmlspeacialchars'ı denedim o da aynı hatayı verdi. Bunun çözümü yokmu ?

[DarkElder]

sql injection < ve > karakterleri ile yapılmaz. Bu karakterler sadece kaydın çıktısı görüntülenirken html tagı olarak algılanmaması için &lt; ve &gt; ye çevrilir.

sql injectiondan korunmak için dikkat etmen gereken karakterler sorguna göre ' veya " dır.

[eagle_one]

Peki bahsettiğim sorunu nasıl giderebilirim ? Yani ilk karakteri tanıyor ama ikincisini tanımıyor. ? ( ilk mesajımdaki soru )