Ma le quey injection

**pazzomania2** · 26-09-2009, 14:39

Ciao,

Mi ponevo una domanda, si raccomanda sempre di proteggersi da eventuali quey injection che possono essere usate da moduli da malintenzionati, per distruggere il sito.

Mi chiedevo.. ma come è possibile?

anche se uno scrive del codice php nel modulo, a lo invia, lo script nella pagina successiva genererà un errore di programmazione no??

Se per esempio c'è:

INSERT INTO tabelle (campo) VALUES ($_POST[modulo])

Se uno alla variabile $_POST[modulo] da un valore che è una riga php, ad esempio, non so DELETE * FROM xxxx questo script andrà in errore, per cui non fara alcun danno.

Di sicuro mi sbaglio...ma perchè??

**neroux** · 26-09-2009, 14:51

Basta

codice:

modulo=1); TRUNCATE TABLE tabella --

e tutta la tabella sarà vuota, perché diventa

INSERT INTO tabelle (campo) VALUES (1); TRUNCATE TABLE tabella --)

**pazzomania2** · 26-09-2009, 15:14

e quindi tipo questo esempio che hai fatto, quale sarebbe il modo migliore per Proteggersi?

**neroux** · 26-09-2009, 15:18

Il modo migliore è sicuramente usare prepared statements. Se no, sempre l'escaping come con mysql_real_escape_string() per MySQL.

Discussione: Ma le quey injection

Strumenti discussione

Ricerca discussione

Visualizza

Ma le quey injection

Permessi di invio