link pericoloso

[paolobig1]

Ciao!
Io voglio passare tammite link una stringa per una query, certi mi hanno consigliato di non farlo perchè altamente pericoloso.
Io non riesco a capire il problema perciò chiedo informazioni.
Il link potrebbe essere questo:
..................


Nella pagina_query.php converto la stringa query e tolgo il simbolo @ (@ ho usato questo simbolo per non avere spazzi vuoti nella variabile $query che passo trammite link).

$QUERY="WHERE ".str_replace(" ", "@", $query);

# $QUERY ora ha questo valore: $QUERY="WHERE marca = 3 and modello = 24";

Secondo voi questo metodo è pericoloso anche se concateno il WHERE in questa pagina??
Supponiamo che qualche rompi p...e voglia inserire un DROP table o DROP DB la stringa finale QUERY avrebbe questo valore:

$QUERY="WHERE DROP DB marca = 3 and modello = 24";


$result=mysql("$DBName","SELECT * FROM utenti $QUERY")or die(mysql_error());
e in questo caso mysql và in errore.

PER FAVORE CORREGETEMI SE SBAGLIO !!!

[piero.mac]

La liberta' e' un bene supremo e quindi fai come vuoi. Pero' elencare il nome tabella e il nome dei campi potrebbe essere considerato una sfida.... un po come lasciare il portafoglio sul sedile dell'auto con il finestrino aperto....

fai tu.

[paolobig1]

Il mio non voleva essere un insegnamento, voglio solo capire se è pericoloso, altrimenti cambio sistema

[bubu77]

come ha detto piero + informazioni sono reperibili dall'esterno e - sicuro diventa lo script

[york75]

esiste un modo per codificare e poi decodificare questa variabile?

Come si fà a inviare ad un amico un link dove vengono passate delle variabili?

[boomboom69]

io non sono molto d'accordo con bubu e piero
voglio dire
1) non bisogna necessariamente dare alle variabili il nome delle tabelle
2) utilizzare il $_GET esattamente come il $_POST, i controlli vanno effettuati anche se si viene da un form no?

paolo lascia perdere le @ ed utilizza www.php.net/urlencode e www.php.net/urldecode

cmq, i controlli sulle variabili per prevenire sql injection o come cavolo si chiamano. falli comunque

ciauz

[skidx]

sono d'accordo con boomboom69.
Se ti serve passare dei dati su querystring fallo senza problemi, basta prendere le corrette precauzioni, come sempre del resto.

[Fabio Heller]

Ciao,
questa roba
query=marca@=@3@and@modello@=@24"

non la passerei neppure via post, se non altro è uno stile orribile.
Per quanto riguarda la sicurezza...costruire una query prelevando intere stringhe dall'input dell'utente IMHO ti costringe a fare molta più attenzione nel validare tali stringhe.
Mentre se invece passi una serie di id o una singola parola i controlli possono essere più chirugici con minore fatica.

[piero.mac]

Originariamente inviato da Fabio Heller
Ciao,
questa roba
query=marca@=@3@and@modello@=@24"

non la passerei neppure via post, se non altro è uno stile orribile.
Per quanto riguarda la sicurezza...costruire una query prelevando intere stringhe dall'input dell'utente IMHO ti costringe a fare molta più attenzione nel validare tali stringhe.
Mentre se invece passi una serie di id o una singola parola i controlli possono essere più chirugici con minore fatica.

Concordo, perche' e' stata la mia prima impressione.
Piu' in generale, per quanto riguarda il discorso delle query string via GET.... non serve che si nasconda il nome reale della tabella/colonna, tanto poi lo converte lo script stesso in quello giusto. Giocando giocando... anche con html.it tempo fa sono entrato nel forum dei moderatori senza averne titolo. Potenza del GET.... (pero' qui lo dico e qui lo nego).

[saibal]

Originariamente inviato da piero.mac
Giocando giocando... anche con html.it tempo fa sono entrato nel forum dei moderatori senza averne titolo. Potenza del GET.... (pero' qui lo dico e qui lo nego).

che ca22o stai dicendo willis?