Originariamente inviato da eiyen
concordo con i consigli e aggiungo: per EVITARE le "injections" bisogna NON mettere mai parametri passati in "maniera aperta"... se ci sono selezioni multiple si usa un bello "switch" per gestire i casi possibili e inserire nel codice le alternative, se invece ci sono valori non inquadrabili a priori in una lista chiusa si convertono i contenuti con "escape" e conversioni di tipo (per esempio per i numeri)
sono "parzialmente" d'accordo con questo consiglio perché mentre per certi parametro (che so, se ti serve includere un file in base ad un certo parametro non è il caso di passare il nome del file da includere) sono pienamente d'accordo ma per ove non è strettamente necessario è meglio evitare altrimenti diventa il caos assoluto!

E' meglio correggere i parametri (tramite espressioni regolari, conversioni del valore e via dicendo), male che va non restituisce nulla ma non si fanno danni!