grazie, l'avevo già lettaOriginariamente inviato da filippo.toso
Ti suggerisco di iniziare leggendo questa guida:
http://php.html.it/guide/lezione/2986/sql-injections/
solo che mi chiedevo, qual è la strada + sicura per eseguire query (pacchetto query+escape fondamentalmente)?
è una cosa buona e giusta eliminare tutti i caratteri pericolosi (\-;$%&) o è un sintomo di debolezza dell'applicazione?
Se utilizzassi l'heredoc in ogni query
e su $name faccio l'escape (ovviamente prima) di " \'%; ", sono ok?Codice PHP:$query = <<<EOQUERY
SELECT * FROM users
WHERE name = '$name'
EOQUERY;
Rispondi quotando