Ho una variabile php che contiene il nome della tabella da cui prendere i dati:
Questa variabile non la creo io, al contrario è contenuta nell'url.codice:"SELECT * FROM `$table` WHERE campo='valorequalsiasi';"
La domanda quindi è: come faccio ad evitare una sql injection?
Secondo voi sono al sicuro se mi creo una funzione che verifica che il nome della tabella contenga solo numeri, lettere e i caratteri - e _ ? Oppure per eludere tale controllo basterebbe la notazione esadecimale?
Potresti anche fare una funzione che verifica che il nome della tabella esista realmente nel database.
Errare humanum est, perseverare ovest
Grazie. Se a qualcuno può essere utile, si può fare così:
Codice PHP:function TableExists($tablename, $db) {
// Get a list of tables contained within the database.
$result = mysql_list_tables($db);
$rcount = mysql_num_rows($result);
// Check each in list for a match.
for ($i=0;$i<$rcount;$i++) {
if (mysql_tablename($result, $i)==$tablename) return true;
}
return false;
}
ma ai fini della sicurezza non è meglio usare un md5 della tabella? dato che ci sei...Originariamente inviato da Mega69
Grazie. Se a qualcuno può essere utile, si può fare così:
Codice PHP:function TableExists($tablename, $db) {
// Get a list of tables contained within the database.
$result = mysql_list_tables($db);
$rcount = mysql_num_rows($result);
// Check each in list for a match.
for ($i=0;$i<$rcount;$i++) {
if (mysql_tablename($result, $i)==$tablename) return true;
}
return false;
}
Codice PHP:function TableExists($tablename, $db) {
// Get a list of tables contained within the database.
$result = mysql_list_tables($db);
$rcount = mysql_num_rows($result);
// Check each in list for a match.
for ($i=0;$i<$rcount;$i++) {
if (md5(mysql_tablename($result, $i))==$tablename) return true;
}
return false;
}
Non sempre essere l'ultimo è un male... almeno non devi guardarti le spalle
il mio profilo su PHPClasses e il mio blog laboweb
Permessi di invio
Rispondi quotando