SQL injection, preparare la sentenza sql

[badaze]

Prima cosa. Se il codice utente è lungo 10 caratteri ad esempio perché non limitare la stringa a 10 caratteri. Difficile immettere del SQL cosi. Stessa cosa per la password.

Codice PHP:

$nome = substr($_POST["nome"],1,10); 


Seconda cosa. Usare md5 o altra funzione di criptaggio. Li puoi anche non avere limiti di caratteri.
Ovviamebnte nel db i dati devono essere stati registrati con lo stesso criptaggio. Ovviamente bis, devi anche avere un campo utente in chiaro.

Codice PHP:

$nome = md5($_POST["nome"]); 


[robynosse]

Prima cosa. Se il codice utente è lungo 10 caratteri ad esempio perché non limitare la stringa a 10 caratteri. Difficile immettere del SQL cosi. Stessa cosa per la password.

Codice PHP:

$nome = substr($_POST["nome"],1,10); 


Seconda cosa. Usare md5 o altra funzione di criptaggio. Li puoi anche non avere limiti di caratteri.
Ovviamebnte nel db i dati devono essere stati registrati con lo stesso criptaggio. Ovviamente bis, devi anche avere un campo utente in chiaro.

Codice PHP:

$nome = md5($_POST["nome"]); 


Io vorrei evitare che l'utente possa scrivere una cosa del genere e che le due variabili assumano questi valori:

codice:

$_POST["nome"]="a' or 'b'='b";
$_POST["password"]="a' or 'b'='b";

data la stringa:

codice:

$sql="select * from miaTabella where login='".$_POST["nome"]."' and password='".$_POST["password"]."'";

Per cui la select risultante sarebbe:

codice:

select * from miaTabella where login='a' or 'b'='b' and password='a' or 'b'='b'