Codice PHP:
if (isset($_GET['id']) && ($_GET['id'] != "")) { $id = $_GET['id']; } else { $id = ""; }
if ($id != "") {
$query = "SELECT nome FROM pippo WHERE ID=$id";
if (! mysql_query($query, $db)) {
// ...il da farsi in caso di errore della query
} else {
// normale svolgimento dello script in caso di successo della query
$result = mysql_query($query, $db);
// etc etc
}
}
Devi sempre controllare che il valore proveniente dall'array $_GET sia definito, non vuoto e inoltre che rispetti altre condizioni dipendenti dall'utilizzo della variabile che ne deriva.
Per esempio se l'id in questione deve essere solo numerico le condizioni che ho scritto non bastano, devi aggiungere
if (isset($_GET['id']) && ($_GET['id'] != "") && is_numeric($_GET['id'])) { $id = $_GET['id']; } else { $id = ""; }
In sostanza, se vuoi curare la sicurezza di quello che scrivi, lo script deve prevedere tutte le possibilità, ovvero avere il minimo numero possibile di comportamenti imprevisti (== 0).
Controlla sempre in questo modo tutte le variabili che ricevi via GET.
Permessi di invio
Rispondi quotando