dal web :

QUALCHE CONSIGLIO PER EVITARE L'SQL INJECTION?

1) Controllate i dati che ricevete, quindi nel codice lato server è necessario verificare che il dato passato da una POST sia effettivamente un numero o un char.

2) Escape dei dati ricevuti dal form: una tecnica banale ma che i programmatori meno esperti non considerano. (In php, asp e altri linguaggi, esistono classi apposite per farlo come "stripslashes")

3) Non inviare le password in chiaro: ricordarsi sempre di cryptare, magari con md5, in modo che anche in condizione di fuga di dati, è quasi impossibile risalire alla password in chiaro.

4) Sostituire i caratteri speciali con entità HTML: SQL Injection solitamente permette di usare caratteri ed espressioni come 'AND user', che possono essere letti e interpretati nella query andando a compromettere l'accesso al database.

5) Effettuare periodicamente una copia backup del database.

6) Nel database, non usare nomi comuni da assegnare alla tabella amminsitratore o utente. E' comunque buona norma effettuare aggiornamenti sempre all'ultima versione del vostro database.


sicuramente solo l'escape non basta ma intanto meglio di niente