[php] sicurezza e query injection

**dalceredo** · 30-01-2007, 15:43

Ciao a tutti!!!

secondo voi un query di questo tipo e' sicura da un punto di vista delle query injection?

Codice PHP:


$categoria=addslashes($data['categoria']);

$lingua=addslashes($data['lingua']);

$new_name=addslashes($new_name);

$size=addslashes($size);

$type=addslashes($type);

#Query d'inserimento

$sql=@mysql_query("INSERT INTO $_CONFIG[table_categoria] (

categoria, id_lingua, nome$numero, size$numero, type$numero) 

VALUES 

(

'".$categoria."',

'".$lingua."',

'".$new_name."',

'".$size."',

'".$type."'

)")or die (mysql_error());

posso fare di meglio?

help me! please!!!!

**polinet** · 30-01-2007, 16:03

io farei un controllo sui campi.
Ovvero: lingua si aspetta solo lettere e non numeri... etc.....
userei un PREG_MATCH

**dalceredo** · 30-01-2007, 16:05

Forse così e' meglio?
ho messo ".$_CONFIG['table_categoria']." tra virgolette.
Questa operazione la rende più sicura?

Codice PHP:


#Sicurezza contro query injection!!!

$categoria=addslashes($data['categoria']);

$lingua=addslashes($data['lingua']);

$new_name=addslashes($new_name);

$size=addslashes($size);

$type=addslashes($type);



#Query d'inserimento

$sql=@mysql_query("INSERT INTO ".$_CONFIG['table_categoria']." (

categoria, id_lingua, nome$numero, size$numero, type$numero) 

VALUES 

(

'".$categoria."',

'".$lingua."',

'".$new_name."',

'".$size."',

'".$type."'

)")or die (mysql_error());

Discussione: [php] sicurezza e query injection

Strumenti discussione

Ricerca discussione

Visualizza

[php] sicurezza e query injection

Permessi di invio