Certo che c'è un problema di sicurezza per il db ed anche grave!
Prendi la query dalla url e non la verifichi, sapendo il nome del db lì uno potrebbe scriverci "DROP nome_db" e ti elimina il database!!!
Pur non sapendo il nome del db potrebbero comunque farti altri danni.
La query la devi generare tu dinamicamente, dall'url devi farti arrivare solo i parametri, per esempio parametri che comporranno la clausola WHERE, oppure i valori per una INSERT o UPDATE e via dicendo, ma non la query completa.
Ad ogni modo, anche generando tu la query, dovrai comunque assicurarti che ciò che viene passato come parametro non sia pericoloso, per questo andrebbe usata la funzione myslqi_real_escape_string().
N.B.: ti ho scritto mysqli_ perché come giustamente detto da tampertools le funzioni myslq_ sono deprecate, se poi usi PDO ancora meglio.
Rispondi quotando