Buongiorno, non sono proprio bravissimo in queste cose e chiedo consiglio.
Sto scrivendo uno script php cui vengono passati per GET tre parametri,
obbligatoriamente, che sono
modo => una stringa
richiedente => una stringa
polo => un intero
Il problema è essere sicuro che qualche buontempone non mi modifichi con ad esempio una SQL injection quello che voglio fare.
Inizialmente ho messo dei controlli fatti così, penso si capiscano
Il comando di inserimento l'ho fatto cosìcodice:if(!isset($_GET['modo']) || (trim($_GET['modo'])=="")) die('-3'); if(!isset($_GET['richiedente']) || (trim($_GET['richiedente'])=="")) die('-4'); if(!isset($_GET['polo']) || (trim($_GET['polo'])=="")) die('-5'); $richiedente=mysql_real_escape_string($_GET['richiedente'],$db); $modo=mysql_real_escape_string($_GET['modo'],$db); $modo=strtoupper($modo); if ($modo !='MEZZI') die('-6'); $polo=mysql_real_escape_string($_GET['polo'],$db); if (!is_numeric($polo)) die('-7');
Il campo ultimoID è la chiave intera (questo mi assicura di non avere numeri duplicati anche in caso di strane attività, dovrebbe fallire e basta)
Però sono "terrorizzato" (è il mio primo programma PHP) dal rischio di modifichecodice:$query = 'INSERT into '.$fulltabella.'(ultimoid,modo,richiedente,ip,polo) values ('.$massimo.',"'.$modo.'","'.$richiedente.'","'.$_SERVER["REMOTE_ADDR"].'",'.$polo.')';
alle stringhe $modo e $richiedente.
C'è qualche altro accorgimento da fare?
Ho letto le guide HTML su SQL injection, ma non sono sicuro basti quello che ho fatto
Rispondi quotando