Ciao a tutti.
Sto approfondendo il tema della sicurezza e in particolare del rischio di mysql injection sui miei script in php. Allo scopo di capirne meglio il funzionamento ho creato un form semplicissimo e teoricamente esposto ad intrusioni (senza escape degli input) dove, richiedendo il solo username, viene prelevato dal db e stampato a video lo username stesso. Ho provato ad inserire nel campo username del form questa istruzione: pippo' OR id = 1 -- (spazio)
Mi viene restituito il messaggio "Questo username non esiste", come se il sistema fosse del tutto sicuro... perché? E' possibile che sul mio spazio web sia già installata una sorta di protezione contro le intrusioni?
Rispondi quotando
