mysqli_real_escape_string

**leaf** · 02-12-2014, 21:18

ciao, sto usando questo metodo per evitare sql injection.
Ho una form che passa molti (14) valori da inserire nel db. Volevo sapere se devo per forza farli passare tramite una variabile (per usare msqli_real_escape_string) oppure se c'è un metodo per risparmiare di creare 14 nuove variabili

sostanzialmente evitare questo

codice:

$nome = mysqli_real_escape_string($con, $_POST['nome']);
$cognome = mysqli_real_escape_string($con, $_POST['cognome'];
$data = mysqli_real_escape_string($con, $_POST['datepicker'];
$luogoN = mysqli_real_escape_string($con, $_POST['luogoN'];
$provinciaN = mysqli_real_escape_string($con, $provinciaN);
$viaRes = mysqli_real_escape_string($con, $_POST['viaResidenza'];
$nCiv = mysqli_real_escape_string($con, $_POST['nCiv'];
$comune = mysqli_real_escape_string($con, $_POST['comune'];
$provinciaR = mysqli_real_escape_string($con, $provinciaR);
$CAP = mysqli_real_escape_string($con, $CAP);
$tel = mysqli_real_escape_string($con, $_POST['telefono'];
$mail = mysqli_real_escape_string($con, $_POST['mail'];
$cf = mysqli_real_escape_string($con, $_POST['cf'];
$ruolo = mysqli_real_escape_string($con, $_POST['ruolo'];

grazie,
ciao

**Alhazred** · 02-12-2014, 21:35

Puoi usare tutti i mysqli_real_escape_string() direttamente dentro la query se non vuoi creare le variabili.

**zacca94** · 02-12-2014, 21:57

o creare una funzione che parsa direttamente i valori inseriti nelle query senza dover mai più purificare niente.

**leaf** · 02-12-2014, 22:10

giusto..creerò una funzione..comunque, per curiosità..c'è un modo per verificare se myql_real_Escape stia funzionando correttamente? cioè io al momento lo sto usando ma non so se effettivamente stia facendo quello che deve fare
L.

**Alhazred** · 02-12-2014, 22:17

Ma certo che farà il suo dovere, come farebbe a non funzionare? Che altro dovrebbe fare? Sarebbe un bel bug di PHP se non facesse ciò per cui è stata scritta.

Per la funzione per il parsing che fai? Scrivi una nuova funzione che a sua volta chiama mysqli_real_escape_string()? A che servirebbe?

**zacca94** · 02-12-2014, 22:25

Originariamente inviata da Alhazred

Per la funzione per il parsing che fai? Scrivi una nuova funzione che a sua volta chiama mysqli_real_escape_string()? A che servirebbe?

Non proprio, io utilizzo una mia funziona che lavora così (es.):
execQuery('SELECT * FROM users WHERE id = %d AND pass = %s', array($_POST['id'], $_POST['pass']));

Evitando il problema di potermi scordare di purificare qualcosa ed evitando di dover scrivere la funzione di escape infinite volte...

**Alhazred** · 02-12-2014, 23:20

Ed execQuery() che fa?

**Santino83_02** · 02-12-2014, 23:57

http://php.net/manual/it/pdo.prepare.php

Edit: D'oh... avevo modificato invece di quotare xD

**Alhazred** · 03-12-2014, 00:03

Originariamente inviata da Santino83_02

http://php.net/manual/it/pdo.prepare.php

Piano piano lì volevo arrivare, alla scoperta dell'acqua calda...

**Santino83_02** · 03-12-2014, 00:12

Originariamente inviata da Alhazred

Piano piano lì volevo arrivare, alla scoperta dell'acqua calda...

Moderatore mi sabota i miei post?

Discussione: mysqli_real_escape_string

Strumenti discussione

Ricerca discussione

Visualizza

mysqli_real_escape_string

Permessi di invio