Originariamente inviato da Francis87
ciauz a tutti

cercando di mettere al sicuro (piu' possibile) i campi di vari form su vari miei siti, volevo chiedere se esiste la possibilita' tramite sql injection di dare piu' istruzioni in un colpo solo.

es.

se io metto:
codice:
SELECT permissionlevel FROM users WHERE username='".$username."' AND password='".$password."'
qualcuno puo' piazzarmi altre istruzioni nel campo password tipo altre select o insert ( VVoVe: ) o UPDATE ( VVoVe: VVoVe: ) o DROP ( VVoVe: VVoVe: VVoVe: ) ???
dipende dal database, se supporta le query annidate, allora teoricamente è possibile, altrimenti no. MySQL fino alla versione 4 non supporta le query annidate, non mi ricordo se dalla 5 le supporta.

poi, ho testato i form con le stringhe che ho trovato in qualche documento pdf dove si parlava di rimedi a questo problema, ma il commento -- non mi ha mai funzionato.

devo ritenermi al sicuro o stupido?

grazie
Il tag di commento -- non va bene per tutti i sistemi, il più sicuro è #