string(52) "SELECT * FROM bacheca WHERE Nome='.$_GET['id'] style=.'"

**cicciaramba** · 14-08-2012, 01:11

Salve a tutti,
ho scritto un codice di una pagina che è il risultato di un'altra pagina che, tramite un form, effettua una ricerca all'interno di un database e stampa un risultato che linka alla pagina di cui vi sto parlando.

Ecco il codice della pagina di risultato:
Il problema è che, pur passando la variabile dell'utente cercato all'iframe per poi riestrapolarla, eseguendo un var_dump della query mi spunta questo: 'string(X) "SELECT * FROM bacheca WHERE Nome='. $_GET['id'] style=.'"', cioè mi spunta il nome utente più la scritta style=. e, quindi non riesce ad estrapolarmi bene i dati, perché?

Grazie a tutti per il vostro aiuto.
Saluti,
cicciaramba.

**cicciaramba** · 14-08-2012, 01:24

Tutto risolto: dimenticavo di chiudere l'src.

**satifal** · 14-08-2012, 14:24

A parte il titolo del 3d che da regolamento dovrebbe essere attinente, hai rimosso il codice per tenerlo segreto?

**RoTeam** · 14-08-2012, 14:40

Originariamente inviato da satifal
A parte il titolo del 3d che da regolamento dovrebbe essere attinente, hai rimosso il codice per tenerlo segreto?

E' segreto di stato

Comunque il codice mi pare che era vulnerabile ad sql-injection come altri che aveva
postato, io non capisco perché c'è questo vizio di non pensarci mai ma anche alla sicurezza in generale e pure è una parte fondamentale

Discussione: string(52) "SELECT * FROM bacheca WHERE Nome='.$_GET['id'] style=.'"

Strumenti discussione

Ricerca discussione

Visualizza

string(52) "SELECT * FROM bacheca WHERE Nome='.$_GET['id'] style=.'"

Re: string(52) "SELECT * FROM bacheca WHERE Nome='.$_GET['id'] style=.'"

Permessi di invio