Ciao a tutti
recupero dei dati da un form con $_POST, prima di memorizzare i campi, tratto i singoli campi con le funzioni
- strip_tags
- mysql_real_escape_string
mi chiedo:
è sufficiente per evitare che vengani inseriti comandi sql? evito che vengano inseriti tag html? evito che vengano inseriti caratteri strani che possano generare errori?
(spero di essere stato chiaro)
htmlspecialchars()
Luca Pennisi - Web Marketing Specialist
mi suggerisci di utilizzare questa funzione??Originariamente inviato da cane-nero
htmlspecialchars()
in aggiunta a
- strip_tags
- mysql_real_escape_string ???
oppure basta htmlspecialchars ??
prova htmlentities(), converte tag html in modo che siano renderizzati correttamente
se vuoi stare proprio sicuro prima di fare delle query SQL controlla ed elimina codice SQL come ALTER, DROP ecc...
Digital Riot!
http://fatmatt.wordpress.com
-Chi è disposto a rinunciare alla propria libertà in cambio di sicurezza, non merita ne libertà ne sicurezza- Benjamin Franklin
dici di fare il replace di ALTER, DROP ecc?Originariamente inviato da fatmatt
prova htmlentities(), converte tag html in modo che siano renderizzati correttamente
se vuoi stare proprio sicuro prima di fare delle query SQL controlla ed elimina codice SQL come ALTER, DROP ecc...
si.. magari ti crei una lista di stringhe vietate e le rimuovi tutte dall'input.. tanto per stare tranquilli.. occhio a non esagerare con la rimozione peròaltrimenti potresti ritrovarti con dei malfunzionamenti.
Digital Riot!
http://fatmatt.wordpress.com
-Chi è disposto a rinunciare alla propria libertà in cambio di sicurezza, non merita ne libertà ne sicurezza- Benjamin Franklin
Permessi di invio
Rispondi quotando