Visualizzazione dei risultati da 1 a 2 su 2
  1. #1

    Migrazione codice da funzioni mysql a PDO

    Ho bisogno di consigli per utilizzare i giusti metodi di PDO in ottica sicurezza.
    Ditemi se sbaglio, tutte le query dove c'è un'immissione dati dell'utente le sto convertendo con il metodo prapare e quindi bind dei dati per prevenire ogni forma di injection.
    Ho dei dubbi su alcune query, la dove nella clausola where ho dei controlli con una variabile di sessione, sto procedendo più rapidamente con query() o exec(), dal punto di vista della sicurezza sarebbe meglio sempre utilizzare prepare e bind anche in questi casi o vado bene con query/exec?
    Grazie.

  2. #2
    Moderatore di PHP L'avatar di Alhazred
    Registrato dal
    Oct 2003
    Messaggi
    11,831
    Sì, usa sempre prepare e bind.
    Per i dati che provengono da form fa comunque anche la validazione prima ancora di passare a prepare e bind, se per esempio hai un campo in cui ci si possono scrivere solo numeri, assicurati che ti arrivi un numero, se deve arrivare un indirizzo email assicurati che sia effettivamente stato inserito un indirizzo email e cose di questo tipo.

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2020 vBulletin Solutions, Inc. All rights reserved.