Ciao a tutti,
Data la variabile $stringa che proviene da un campo input html inserito dall'utente.
se faccio questo:
Rischio un sql injection o posso stare tranquillo?Codice PHP:$stringa=filter_var($stringa,FILTER_SANITIZE_STRING);
$sql="select * from tabla WHERE CONCAT(colonna1,colonna2,colonna3,colonna4,colonna5) LIKE '%".$stringa"%'";
Grazie,
Roberto
Cosa usi per interfacciarti al database? MySQLi? PDO?
Perché per queste cose è meglio usare i prepared statement, sono fatti appositamente.
Uso la classe PDO e ho risolto.Originariamente inviata da Alhazred
Il problema era che stavo usando %?% al posto di utilizzare solo ? e passare la variabile direttamente come %variabile%.
Grazie della risposta.
Permessi di invio
Rispondi quotando