SQL Injection e invio emial

**nemesis_85** · 23-02-2012, 20:39

Salve, ragazzi, ho un problema, nel mio sito, ho un modulo contatti, dove per difendermi da SQL Injection filtro tutto quello che passa dalle input del form nel seguente modo:

codice:

$stringa=mysql_real_escape_string ($stringa);

però se per esempio nella casella di testo metto il seguente messaggio:

'''''
'

'''''

quando lo spedisco con la funzione mail mi arriva cosi:
/'/'/'/'
/'

/'/'/'/'/'/'/'

codice:

 $messaggio="Richiestav da parte di un utente!
			Il seguenti messaggio e' stato inviato da un utente:
			Cognome e Nome: ".$_POST['nome']."
			Via: ".$_POST['via']."
			Citta': ".$_POST['citta'].", (".$_POST['provincia'].")
			Telefono: ".$_POST['telefono']."
			Email: ".$_POST['mail']."
			
			Messaggio: ".$_POST['messaggio'];
$messaggio=mysql_real_escape_string ($messaggio)

			$a=mail("angelo85ct@msn.com", "Messaggio di richiesta da ", $messaggio, "From: ".$_POST['nome']." <".$_POST['mail'].">") or print ("<script> alert('Errore invio dell'e-mail!')</script>");

//non fate caso agli errori, l'ho scritto di getto

come posso fare per farlo arrivare pulito? senza /

Grazie

**costi31** · 23-02-2012, 22:05

Ciao. Prova a sostituire "$messaggio=mysql_real_escape_string ($messaggio)" con:

Codice PHP:


if (get_magic_quotes_gpc())

    $messaggio = stripslashes ($messaggio);

$messaggio = mysql_real_escape_string ($messaggio);

**nemesis_85** · 02-03-2012, 21:56

un'altra cosa, facendo

Codice PHP:


<?php 



// Filtro parole nelle query, mette l'escape \

function Filtro($stringa){ 

 $stringa=mysql_real_escape_string ($stringa); 

 return $stringa;



} ?>

quando ci sono dei
mi mette questo carrattere:
\r\n

come faccio a fare visualizzare poi in html? con un replace o c'è una funzione in particolare?

Grazie

**nemesis_85** · 02-03-2012, 22:06

come non detto, è un problema solo se facevo l'echo, nel db vengono visualizzate bene.

**costi31** · 02-03-2012, 22:41

Originariamente inviato da nemesis_85
un'altra cosa, facendo

Codice PHP:


<?php 



// Filtro parole nelle query, mette l'escape \

function Filtro($stringa){ 

 $stringa=mysql_real_escape_string ($stringa); 

 return $stringa;



} ?>

quando ci sono dei
mi mette questo carrattere:
\r\n

come faccio a fare visualizzare poi in html? con un replace o c'è una funzione in particolare?

Grazie

Se devi sostituire i caratteri "\r\n" con "
" c'è una funzione php apposta, nl2br().

**nemesis_85** · 02-03-2012, 22:57

si ,l'avevo vista, ma non mi funziona

Codice PHP:


<?php $ciccio= ' ciccio\r\n\r\nci\r\n \r\nco';

 echo nl2br($ciccio); ?>

mi stampa ciccio\r\n\r\nci\r\n \r\nco

**costi31** · 02-03-2012, 23:03

Hai sbagliato perchè devi usare gli apici doppi per valorizzare la variabile se vuoi che vengano riconosciuti i caratteri carriage return e new line, quindi:

Codice PHP:


<?php

$ciccio= " ciccio\r\n\r\nci\r\n \r\nco";

echo nl2br($ciccio);

?>

**nemesis_85** · 02-03-2012, 23:11

grazie, questo non lo sapevo.....

**costi31** · 02-03-2012, 23:15

Prego, non c'è di che. Anch'io come te, prima di imbattermi in problemi del genere tempo fa, non sapevo che i caratteri speciali venissero riconosciuti solo se inseriti tra gli apici doppi.

**nemesis_85** · 02-03-2012, 23:24

ma allora se passo una variabile con il post

Codice PHP:


$_POST['email'] oppre con i doppi apici $_POST["email"]

o in questo caso sono la stessa cosa?

Discussione: SQL Injection e invio emial

Strumenti discussione

Ricerca discussione

Visualizza

SQL Injection e invio emial

Permessi di invio