Secondo me il sistema che stai sviluppando è piuttosto pericoloso..[supersaibal]Originariamente inviato da Fayble
Inoltre perché prima di $_GET è opportuno mettere il punto? [/supersaibal]
Un utente malintenzionato, può passare via GET qualsiasi tipo di dato, che tu non controlli facendo:
INSERTO INTO taballa (campo, campo1, campo2) VALUES ('$_GET[var]');
Rispondendo in ordine, il punto non è altro che il il concatenatore (non mi viene parola più adatta) delle stringe..
Cioè:
$var="ciao";
$var2="mondo";
$str=$var ." ".$var2;
echo $str;
L'output sarà: ciao mondo
In ogni caso, secondo me fai diverse inesattezze..
Prima di tutto perchè le variabili passate via get, senza essere controllate, possono essere molto pericolose (anche per le sql injection).
Seconda cosa, anceh scrivere $_GET[var] invece di $_GET['var], non è del tutto corretto.
GUARDA QUI
Mi riferisco a questo stralcio:
Inoltre se l'uetnte carica una pagina in cui una varibile non esiste lo script va in errore perchè il tuo insert non è completo...[...]
I messaggi di tipo NOTICE segnalano il codice scritto con un cattivo stile. Ad esempio, $arr[item] è meglio che sia scritto come $arr['item'] poichè il PHP tenta di trattare "item" come costante. Se non esiste una simile costante, il PHP presume che si tratti dell'indice di una matrice.
[...]
Quindi dovresti innanzitutto controllare l'esistenza della varibile $_GET, secondo dovresti controllare ceh questa abbia i valori che ti interessano, che non abbia nulla di pericolo.
Dopodichè salvi tutto in una varibile e puoi passare al tuo insert in questo modo:
ISNERTO INTO tabella (campo1, campo2, campo3) VALUES ('$var1', '$var2', '$var3');
in cui:
$var1=$_GET['var1']; //e tutti i suoi controlli
ecc ecc,
Rispondi quotando