Ho appena letto questo articolo: http://www.html.it/pag/16880/evitare...sql-injection/ e sono rimasto con alcuni dubbi.
Mettendo magic_quotes_gpc su ON nel php.ini o usando addslashes() sono al sicuro dagli attacchi?
mysql_escape_string() e mysql_real_escape_string sono alternative ad addslashes() ?
Potreste chiarirmi il funzionamento di ereg (sul sito di php ho visto che la funzione è deprecata, c'è un'altra funzione?) e di preg_match ??
si potrebbe pensare che agiscano allo stesso modo sia mysql_real_escape che addslash ma in realtà la prima è più sicura in quanto non si limita esclusivamente all'aggiunta si una slash
ti consiglio una lettura qui http://shiflett.org/blog/2006/jan/ad...-escape-string
per le ereg se ne è parlato qui http://www.html.it/articoli/php-abba...alternative-1/
preg_match permette una sorta di controllo tra stringhe, è ampiamente documentata
If you think your users are idiots, only idiots will use it. DropBox
La cosa migliore è utilizzare PDO e parametri.
http://www.php.net/manual/en/security.php
Buon studio!
Siamo sempre troppo gelosi delle nostre grandi piccole opere! - Grino inedito.
Lavori e Lavoretti
Il problema è che stai leggendo articoli/guide molto vecchie... ereg è stato deprecato, le magic quotes sono state definitivamente rimosse in php 5.4 (fare affidamento su di loro è sempre stato un errore), si è iniziato a scoraggiare l'utilizzo delle funzioni mysql_* a favore di pdo... infine, da quanto ne so, l'utilizzo addslashes non è mai stata un alternativa di mysql_real_escape_string..
Permessi di invio
Rispondi quotando