Controllo variabili mysql in php

[Leonraf]

Salve a tutti!
sto programmando una pagina in php che comunica con un database mysql. Questa pagina è un form dove chiunque può scrivere in 3 campi di testo dove solo 2 di questi compariranno in un'altra pagina visibile a tutti, mentre l'altro parametro serve solo per ricercare nel database la posizione esatta dove allocare i dati presenti negli altri 2 campi di testo.

Faccio un esempio per capirci:

Supponiamo di avere una pagina dove ci sono 3 campi di testo dove uno può scrivere Nome, Cognome e Città.
Supponiamo di avere un tot di tabelle nel database ognuna delle quali è rinominata con dei nomi di Città, quindi il campo di testo città ci serve per inserire il nome e il cognome della persona nella tabella della città che ha scritto. Ad esempio se io scrivo a Nome: Marco a Cognome: Rossi e a città Genova la richiesta al database mysql sarà del tipo: insert into Genova(Nome, Cognome) values('Marco', 'Rossi');

Bene. La mia domanda è questa:

con i comandi htmlentities

[Leonraf]

mi scuso per il doppio post, però quando ho provato a inviare per la prima volta la domanda il sito mi aveva dato un errore e pensavo non l'avesse inviata. Mi scuso ancora!

[FFMM]

diciamo che la domanda non è esattamente chiara

[CiRi..Cuber]

Non hai completato la domanda, vuoi una mano su come farlo??

[Leonraf]

Scusate la poca chiarezza, ma il computer oggi ha dato i numeri XD.
Vi riposto la domanda completa così che possiate leggerla bene. Grazie mille a tutti!


sto programmando una pagina in php che comunica con un database mysql. Questa pagina è un form dove chiunque può scrivere in 3 campi di testo dove solo 2 di questi compariranno in un'altra pagina visibile a tutti, mentre l'altro parametro serve solo per ricercare nel database la posizione esatta dove allocare i dati presenti negli altri 2 campi di testo.

Faccio un esempio per capirci:

Supponiamo di avere una pagina dove ci sono 3 campi di testo dove uno può scrivere Nome, Cognome e Città.
Supponiamo di avere un tot di tabelle nel database ognuna delle quali è rinominata con dei nomi di Città, quindi il campo di testo città ci serve per inserire il nome e il cognome della persona nella tabella della città che ha scritto. Ad esempio se io scrivo a Nome: Marco a Cognome: Rossi e a città Genova la richiesta al database mysql sarà del tipo: insert into Genova(Nome, Cognome) values('Marco', 'Rossi');

Bene. La mia domanda è questa:

con i comandi htmlentities e mysql_escape_string applicati ai campi di nome e cognome credo di aver bloccato i tentativi di sql injection e XSS, però quello che mi chiedevo è se è necessario inserire il comando htmlentities anche alla variabile città che cmq non verrà mai stampata a video e quindi non credo possa nuocere a nessuno. Questa variabile è passata solo dal comando mysql_escape_string perchè è fondamentale visto che serve per le sql injection.
Ma l'htmlentities da quello che ho potuto constatare e capire, serve per evitare che si possa inserire dello script hack che possa nuocere all'utente che lo visiona (cosa che può accadere per le variabili nome e cognome ma non per città che non sarà mai visualizzata in nessuna pagina). Però lo script hack credo si possa eseguire solo lato client e non lato server quindi non vedo perchè la variabile città la debba processare anche con l'htmlentities.
Spero di essere stato chiaro. Grazie mille a tutti.

[CiRi..Cuber]

Certo devi metterlo pure a città in quanto a a che fare con il database quindi è un problema.

[Leonraf]

scusa la domanda, ma perchè è un problema? pensavo che per il database l'unico rischio fosse l'sql injection e con il mysql_escape_string ho visto che si risolve abbastanza bene direi... l'htmlentities perchè occorre anche in questo caso? per caso esiste qualche script che può essere avviato anche lato server?
Grazie mille per la risposta cmq