Originariamente inviato da Fabio Heller
Ciao,
questa roba
query=marca@=@3@and@modello@=@24"

non la passerei neppure via post, se non altro è uno stile orribile.
Per quanto riguarda la sicurezza...costruire una query prelevando intere stringhe dall'input dell'utente IMHO ti costringe a fare molta più attenzione nel validare tali stringhe.
Mentre se invece passi una serie di id o una singola parola i controlli possono essere più chirugici con minore fatica.
Concordo, perche' e' stata la mia prima impressione.
Piu' in generale, per quanto riguarda il discorso delle query string via GET.... non serve che si nasconda il nome reale della tabella/colonna, tanto poi lo converte lo script stesso in quello giusto. Giocando giocando... anche con html.it tempo fa sono entrato nel forum dei moderatori senza averne titolo. Potenza del GET.... (pero' qui lo dico e qui lo nego).