Ciao!
Io voglio passare tammite link una stringa per una query, certi mi hanno consigliato di non farlo perchè altamente pericoloso.
Io non riesco a capire il problema perciò chiedo informazioni.
Il link potrebbe essere questo:
..................


Nella pagina_query.php converto la stringa query e tolgo il simbolo @ (@ ho usato questo simbolo per non avere spazzi vuoti nella variabile $query che passo trammite link).

$QUERY="WHERE ".str_replace(" ", "@", $query);

# $QUERY ora ha questo valore: $QUERY="WHERE marca = 3 and modello = 24";

Secondo voi questo metodo è pericoloso anche se concateno il WHERE in questa pagina??
Supponiamo che qualche rompi p...e voglia inserire un DROP table o DROP DB la stringa finale QUERY avrebbe questo valore:

$QUERY="WHERE DROP DB marca = 3 and modello = 24";


$result=mysql("$DBName","SELECT * FROM utenti $QUERY")or die(mysql_error());
e in questo caso mysql và in errore.

PER FAVORE CORREGETEMI SE SBAGLIO !!!