Problema query

**magic_key** · 08-08-2015, 14:01

Ciao a tutti, devo selezionare una colonna che però è una variabile.. come faccio?

...
$var = $_GET['var'];
$id = "$_GET[id]";

require("conn.php");
try { $connessione = new PDO ("mysql:host=$host;dbname=$db; charset=utf8", $user, $password);
$connessione->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
$query = $connessione->prepare("SELECT ? FROM tabella WHERE tabella.id = ?");
$query -> execute(array($var, $id));
$connessione = null; } catch(PDOException $e) { echo $e->getMessage(); die(); }

$reg = $query->fetch();
...

**clasku** · 08-08-2015, 16:25

Nel prepare, metti direttamente $var al posto del primo "?"

Secondo me, ti esponi a qualche problema di sicurezza se non verifichi e validi attentamente quello che ricevi via GET

**magic_key** · 08-08-2015, 17:43

Grazie per la risposta.. Filtrare il GET con una regex è sufficiente?

**MySQL** · 08-08-2015, 18:02

Originariamente inviata da magic_key

Grazie per la risposta.. Filtrare il GET con una regex è sufficiente?

Ovviamente ni.

Iniziamo col dire che la cosa più furba che puoi fare (se la puoi fare) è usare numeri, interi, e NON stringhe per i parametri, ovunque puoi.

Questa mossa ti consente di (regex o ciclo come vuoi) "purgare" tutto quanto non siano cifre, il che taglia via un bel po' di problemi di sicurezza.

Se non puoi, allora almeno crea una enumerazione all'interno di cui scegliere (chessò var può valere pippo,pluto o paperino, quindi verificherai con cura che valga uno di questi valori, e non qualsiasi).

I problemi più grossi saltano fuori quando accetti "qualsiasi cosa" in input, invece di forzarlo ad essere solo, e solamente, come vuoi che sia.

Poi, visto che usi PDO, perchè utilizzi il secondo ? invece di un :qualcosa?
Inoltre NON stampare il messaggio d'errore a video (in produzione) per non fornire informazioni utilissime su come "bucare" meglio il sito

**magic_key** · 08-08-2015, 19:04

Si, in effetti con $_GET carico l'ID presente nel database, ma $var fa riferimento ad una piccola stringa.. Per $var conviene fare qualcosa del genere?

codice:

if ($var == ("pippo" || "paperino" || "topolino")) {
	...
	*query*
	...
	}
else {
	...
	}

Mi sa che è comunque meglio come dici tu, ossia associare una numerazione al loro posto..

Per evitare di stampare a video eventuali errori mi basta cancellare echo $e->getMessage(); giusto?

**MySQL** · 08-08-2015, 19:45

Originariamente inviata da magic_key

Si, in effetti con $_GET carico l'ID presente nel database, ma $var fa riferimento ad una piccola stringa.. Per $var conviene fare qualcosa del genere?

codice:

if ($var == ("pippo" || "paperino" || "topolino")) {
    ...
    *query*
    ...
    }
else {
    ...
    }

Mi sa che è comunque meglio come dici tu, ossia associare una numerazione al loro posto..

Per evitare di stampare a video eventuali errori mi basta cancellare echo $e->getMessage(); giusto?

Sì.
Magari ti basta un -1 come errore generico tornato dai vari die.

Discussione: Problema query

Strumenti discussione

Ricerca discussione

Visualizza

Problema query

Permessi di invio