Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio

Visualizzazione dei risultati da 1 a 4 su 4

Discussione: Si può sfruttare una sql injection se al parametro vengono eliminate le slashes?

Navigazione veloce PHP Vai in cima

Visualizzazione discussione

07-08-2009, 18:15 #1
zacca94

Visualizza il profilo

Visualizza i messaggi forum

Messaggio privato
Utente di HTML.it

Registrato dal

Jun 2008

Messaggi

1,317
Si può sfruttare una sql injection se al parametro vengono eliminate le slashes?

Ho letto in qualche manuale che addslahses NON è sicuro: perchè?
Premetto che faccio questa domanda in quanto effettuo già una specie di htmlspecialchars con questa funzione:

Codice PHP:

function my_htmlspecialchars( $html ) { $text = array ( "<" , ">" , "\"" , "'" ); $replace = array ( "<" , ">" , """ , "'" ); return str_replace( $text , $replace , $html ); }

E dato che utilizzo sprintf/vsprintf per le query, utilizzare anche mysql_real_escape_string renderebbe le query a dir poco lunghissime.

In parole povere: basta che utilizzo my_htmlspecialchars ( che definisco comunque dato che estraggo tutte le informazioni come il referer, user agent etc... all'inizio dello script ) per prevenire attacchi di tipo sql injection o devo per forza utilizzare ANCHE mysql_real_escape_string?

grazie.
Rispondi quotando

Navigazione veloce PHP Vai in cima

« Discussione precedente | Prossima discussione »

Permessi di invio

Non puoi inserire discussioni
Non puoi inserire repliche
Non puoi inserire allegati
Non puoi modificare i tuoi messaggi

Il codice BB è attivo
Le smilie sono attive
Il codice [IMG] attivo
[VIDEO] code is disattivato
il codice HTML è disattivato

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.