Ciao a tutti,
ho appena finito di costruire il mio sito web e ho deciso di cominciare a renderlo più sicuro proteggendolo da attacchi come le SQL Injection. Purtroppo non sono molto esperto in materia e gli unici tipi di protezione che sono stato in grado di inserire fino ad ora sono stati htmlspecialchars() e il casting del tipo di dato. Cosa altro dovrei implementare?
sottoponi le stringhe che passi come argomenti di query prima a questa funzione : mysql_real_escape_string()Originariamente inviata da masternick
Non siate in ansia per la vostra vita; Guardate gli uccelli del cielo: non seminano, non mietono, non raccolgono in granai, e il Padre vostro celeste li nutre. Non valete voi molto più di loro? Cercate prima il regno e la giustizia di Dio, e tutte le altre cose vi saranno date in più.
Ok, le stringhe vengono quindi processate così prima di essere passate alla query:
Devo fare così anche per i file che vengono uploadati, oppure basta un addslashes()?Codice PHP:$stringa = mysql_real_escape_string(htmlspecialchars($stringa))
fai l'upload di file nel db?
Non siate in ansia per la vostra vita; Guardate gli uccelli del cielo: non seminano, non mietono, non raccolgono in granai, e il Padre vostro celeste li nutre. Non valete voi molto più di loro? Cercate prima il regno e la giustizia di Dio, e tutte le altre cose vi saranno date in più.
Si, così sono sicuro che solo chi ha i permessi vi possa accedere
Permessi di invio
Rispondi quotando