ho il seguente problema:
ho questa variabile che mi viene passata da un'altra pagina
$categoria = $_GET['categoria'];
il suo valore potrebbe anche contenere uno spazio
es 'inquinamento acustico'
questa variabile mi serve per fare un'inserimento di record
$query= "INSERT INTO $categoria(titolo) VALUES
('$tit')";
il tutto non funziona solo quando ci sono spazi??????????
Ciao,[supersaibal]Originariamente inviato da rallentina
ho il seguente problema:
ho questa variabile che mi viene passata da un'altra pagina
$categoria = $_GET['categoria'];
il suo valore potrebbe anche contenere uno spazio
es 'inquinamento acustico'
questa variabile mi serve per fare un'inserimento di record
$query= "INSERT INTO $categoria(titolo) VALUES
('$tit')";
il tutto non funziona solo quando ci sono spazi??????????
ci sono diversi problemi: il primo è che mysql non accetta spazi nei nomi delle tabelle (o forse sì se circondi il nome con gli apici inversi, ma te lo sconsiglio).
L'altro è che esponi il tuo script ad ogni pericolo di injection da parte del navigatore...cosa accadrebbe se $categoria fosse un'intera stringa SQL che ti devasta il database?
Se fai una ricerca nel forum, in freephp e in google trovi diverse informazioni sull'argomento sql injection
per favore NIENTE PVT TECNICI da sconosciuti
ma non è possibile eliminare solo gli spazi dalla stringa?
Certo che è possibile (vedi str_replace) ma ci sono altre cose a cui fare attenzione, apici , commenti sql etc.etc.[supersaibal]Originariamente inviato da rallentina
ma non è possibile eliminare solo gli spazi dalla stringa? [/supersaibal]
In ogni caso ti sconsiglio di usare l'input utente in quel modo un po' rozzo se prima non hai fatto tutti i controlli del caso e soprattutto se non ti sei documentato sull'sql injection
per favore NIENTE PVT TECNICI da sconosciuti
Permessi di invio
Rispondi quotando