Ovviamente ni.Originariamente inviata da magic_key
Iniziamo col dire che la cosa più furba che puoi fare (se la puoi fare) è usare numeri, interi, e NON stringhe per i parametri, ovunque puoi.
Questa mossa ti consente di (regex o ciclo come vuoi) "purgare" tutto quanto non siano cifre, il che taglia via un bel po' di problemi di sicurezza.
Se non puoi, allora almeno crea una enumerazione all'interno di cui scegliere (chessò var può valere pippo,pluto o paperino, quindi verificherai con cura che valga uno di questi valori, e non qualsiasi).
I problemi più grossi saltano fuori quando accetti "qualsiasi cosa" in input, invece di forzarlo ad essere solo, e solamente, come vuoi che sia.
Poi, visto che usi PDO, perchè utilizzi il secondo ? invece di un :qualcosa?
Inoltre NON stampare il messaggio d'errore a video (in produzione) per non fornire informazioni utilissime su come "bucare" meglio il sito
Rispondi quotando