Ciao a tutti,
mi capita una brutta situazione: ho un campo di testo che viene trasmesso da un form con metodo POST che può contenere tutti i caratteri più strampalati (esempio: !&%`x>|). Questo campo lo devo inserire in un record del database
Come faccio a proteggermi contro le query injection in questo caso? c'è un buon metodo che mi faccia stare in una botte di ferro?
Grazie
direi che ti conviene usare PDO o almeno mysqli
Ciao,
non fai altro che utilizzare
http://us.php.net/manual/en/function.htmlentities.php
oppure
http://us.php.net/manual/en/function.strip-tags.php
quando lo visualizzi nella pagina.
I tags nel db non fanno male a nessuno
Ps
Nota che è best practice
applicare htmlentities a tutti i valori
visualizzati nella view
Without faith, nothing is possible. With it, nothing is impossible
http://ilwebdifabio.it
Permessi di invio
Rispondi quotando
