Originariamente inviato da GalaxyOF
Fammi capire bene un secondo , in pratica dovrei aggiungere quella string:

codice:
mysql_real_escape_string()
In tutte le pagine cosicché vengono esclusi quei caratteri tipo "'" che posso creare problemi ?
O sbaglio ? Cosa devo aggiungere e dove? Devo fare altro? Devo modificare parametri?
Le creare le injection solitamente sfruttano i form, quindi in tutti i casi incui hai delle form o comunque dei passaggi di variabili la variabile prima di utilizzarla la inserisci nella funzione che ti hanno dato.

es recuper in GET:
$nome = $_GET['nome'];
mysql_real_escape_string($nome);
..
query...
..

in POST:
$nome = $_POST['nome'];
mysql_real_escape_string($nome);
..
query...
..

per tutte le varibiali!
ciao