Ciao a tutti, nel mio sito ho dei collegamenti tra pagine web che avvengono tramite passaggio di variabili in GET
Es: http ://www.miosito.it/?pagina=10
per poter evitare SQL injection, ho messo un controllo del tipo
Codice PHP:
<?php
$pagina = $_GET['pagina'];
if(is_numeric($pagina)){
//accetto solo valori numerici
// qui eseguo la QUERY
}
else{
//ci stanno altri valori, non eseguo niente, o magari loggo i valori postati per capire che tentativi di manipolazioni vengono fatte... boh..
}
?>
in questo modo sono "protetto" o sono ancora a rischio?!
Grazie a tutti per le indicazioni l'aiuto !
Rispondi quotando