Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio

Visualizzazione dei risultati da 1 a 10 su 26

Discussione: sicurezza in un sito web e sql injection

Navigazione veloce PHP Vai in cima

Visualizzazione discussione

30-01-2013, 14:02 #7
boots

Visualizza il profilo

Visualizza i messaggi forum

Messaggio privato
Utente di HTML.it

Registrato dal

Oct 2012

Messaggi

1,626
Le graffe sono solo un modo per inserire una variabile in una stringa. Potevo scrivere anche
$query = "SELECT * FROM table WHERE id='".$id."'";
Quello che dicevo è di usare gli apici

Perchè se io ho ad esempio
$query = "SELECT * FROM table WHERE id=". $id;
ed qualcuno passa come $id = "1; Delete from table;"
Anche se la passi a mysql_real_escape, otterrai sempre

$query = "SELECT * FROM table WHERE id=1; DELETE from table;"
Che sono due query sql.
In questo caso, visto che ti spetti un id numerico, puoi fare anche il cast in modo che la stringa passata diventa un semplice numero
Rispondi quotando

Navigazione veloce PHP Vai in cima

« Discussione precedente | Prossima discussione »

Permessi di invio

Non puoi inserire discussioni
Non puoi inserire repliche
Non puoi inserire allegati
Non puoi modificare i tuoi messaggi

Il codice BB è attivo
Le smilie sono attive
Il codice [IMG] attivo
[VIDEO] code is disattivato
il codice HTML è disattivato

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.