L'utente può fare danni?

[ctpp]

Ciao a tutti
In un sito ho una pagina di ricerca per cui un utente può cercare una risorsa.
Per esempoio può immettere una città per avere informazioni su avvenimenti di quella città
Quindi il suo input sarà:

<input type="text" name="citta">

La query pertanto diventa
$citta=$_POST[''citta];
$query="select * form eventi where citta=$citta";

Mi chiedo può un input dell'utente fare danni immettendo comandi mysql o altro nell'input di ricerca?
Se si cosa devo fare?
Grazie

[filippo.toso]

Si, dai una occhiata qui:

http://www.php.net/manual/en/securit...-injection.php
http://php.html.it/guide/lezione/2986/sql-injections/

[ctpp]

Finora ho escapato tutte le stringhe in input e definiti (int) tutti i numeri passati con le get per le impaginazioni, poi ho filtrato con le regexp ogni input sia in javascripy nella validazione del form sia in php

Mi rimane il dubbio sull'uso da parte mia del % nelle WHERE
per es:cognome like $cognome% nel caso come spesso accade ci si ricordi solo come inizia
Cosa ne pensate?

Grazie

[filippo.toso]

Originariamente inviato da ctpp
Finora ho escapato tutte le stringhe in input e definiti (int) tutti i numeri passati con le get per le impaginazioni, poi ho filtrato con le regexp ogni input sia in javascripy nella validazione del form sia in php

Nell'esempio che hai postato non vedo nulla di tutto cio'.

Originariamente inviato da ctpp
Mi rimane il dubbio sull'uso da parte mia del % nelle WHERE
per es:cognome like $cognome% nel caso come spesso accade ci si ricordi solo come inizia
Cosa ne pensate?

Dai una occhiata qui:
http://dev.mysql.com/tech-resources/...curity-ch3.pdf

[ctpp]

[QUOTE]Originariamente inviato da filippo.toso
Nell'esempio che hai postato non vedo nulla di tutto cio'.

L'esempio l'ho corretto e portato avanti dopo aver letto le pagine da te consigliate nella tua prima risposta

Quindi è cambiato e si è evoluto

In fin dei conti ho solo 3 /4 campi input da proteggere................... non occorre molto tempo per aggiornarli con le info di cui i tuoi link

[ctpp]

Dai una occhiata qui:
http://dev.mysql.com/tech-resources/...curity-ch3.pdf [/QUOTE]

In base a quanto leggo nel pdf da te indicato posso escapare il carattere % usando queste funcioni insieme

$string = addcslashes(mysql_rea0l_escape_string($string), “%_”);

Non mi è però chiaro una cosa:
se nel server del mio provider è attiva la funzione magic_quotes_gpc cosa SUCCEDE in questo particolare caso?
Grazie