Originariamente inviato da lorenzo84
Buongiorno a tutti!
non so se ho postato nella sezione giusta.
Vorrei dei chiarimenti in merito a due aspetti che mi sono venuti in mente così mentre stavo progettando un sito e essendo alle prime armi non ho trovato una risposta.
La prima:
come prevenire sql injection? io tutte le stringhe che vanno a formare la query le filtro con my_sql_real_escape. è sufficiente? se non lo è mi consigliate ?
E' un inizio, ma puoi adottare politiche decisamente più restrittive.
Una ad esempio è la ricerca dei ;
Un'altra è la ricerca dei token SQL indebiti
la seconda:

durante ad esempio il login io compilo un form con nome utente e password in "chiaro" utilizzando il metodo POST. ma qualcuno potrebbe intercettare questi dati? e come evitarlo?
grazie mille a tutti
E' possibile intercettare questi dati se (probabilità decrescenti)

1) si ha la collaborazione del tuo provider
2) o quella del provider dell'utente
3) o di un carrier principale con ad esempio un BGE
4) virus-malware-etc
5) qualcuno in grado di manipolare uno dei router intermedi
6) come sopra per i DNS che vengono utilizzati
7) qualcuno sulla tua sottorete birichino con una scheda in modalità promiscua

A parte questi casi, che tipicamente riguardano l'ambito giudiziario, non è per nulla banale intercettare le informazioni che transitano, perfino in chiaro