Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio

Visualizzazione dei risultati da 1 a 4 su 4

Discussione: [mysql] Evitare sql injection per i nomi delle tabelle.

Navigazione veloce PHP Vai in cima

Visualizzazione discussione

28-01-2008, 14:53 #1
Mega69

Visualizza il profilo

Visualizza i messaggi forum

Messaggio privato

Vai alla Home Page
Utente di HTML.it

Registrato dal

Jun 2006

Messaggi

2,164
[mysql] Evitare sql injection per i nomi delle tabelle.
Ho una variabile php che contiene il nome della tabella da cui prendere i dati:

codice:

"SELECT * FROM `$table` WHERE campo='valorequalsiasi';"

Questa variabile non la creo io, al contrario è contenuta nell'url.
La domanda quindi è: come faccio ad evitare una sql injection?
Secondo voi sono al sicuro se mi creo una funzione che verifica che il nome della tabella contenga solo numeri, lettere e i caratteri - e _ ? Oppure per eludere tale controllo basterebbe la notazione esadecimale?
blog su politica, scienze, tecnologia e altro
Rispondi quotando

Navigazione veloce PHP Vai in cima

« Discussione precedente | Prossima discussione »

Permessi di invio

Non puoi inserire discussioni
Non puoi inserire repliche
Non puoi inserire allegati
Non puoi modificare i tuoi messaggi

Il codice BB è attivo
Le smilie sono attive
Il codice [IMG] attivo
[VIDEO] code is disattivato
il codice HTML è disattivato

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.