Magic quotes GPC e sql injection

**pop killer** · 04-01-2008, 19:58

Ciao a tutti ragazzi,

volevo porre un quesito riguardo magic_quotes_gpc... Visto che quest'opzione mette un backslash di "protezione" alle virgolette, agli apici e al backslash stesso a qualunque variabile esterna, nel caso io faccia sempre delle query simili

codice:

SELECT * FROM tabella WHERE id='$_POST[variabile]'

(ovvero con gli apici a delimitare la stringa esterna) sono protetto da tutte le sql injection? Visto che la variabile esterna non puo' avere dei "veri apici" che chiudono gli apici in query non dovrebbe essere possibile effettuare un injection, ma non ne sono sicuro.

Grazie anticipatamente

pk

**king size slim** · 04-01-2008, 20:05

io uso sempre mysql_real_escape_string() per stare tranquillo

una cosa tipo:

Codice PHP:


$sql = "SELECT * FROM tabella WHERE id=".mysql_real_escape_string($_POST[variabile])"'";

**pop killer** · 04-01-2008, 21:26

Credo che l'effetto sia lo stesso... Qualcuno che conferma la mia ipotesi?

Discussione: Magic quotes GPC e sql injection

Strumenti discussione

Ricerca discussione

Visualizza

Magic quotes GPC e sql injection

Permessi di invio