ciao a tutti
se tratto una variabile post così:
$nome_utente = mysql_real_escape_string(stripslashes($_POST['nome_utente']));
sono sicuro al 100% che non si possano fare injection?
ciao a tutti
se tratto una variabile post così:
$nome_utente = mysql_real_escape_string(stripslashes($_POST['nome_utente']));
sono sicuro al 100% che non si possano fare injection?
Non saprei dovrei verificare anche la tua soluzione
Che ne pensi di
$nome_utente = str_replace("'", '& # 0 3 9 ;', $_POST['nome_utente']);
così tolgo tutti gli accenti dalla stringa... bah con stripslashes dovrei essere più che sicuro.Originariamente inviato da rel_style
Non saprei dovrei verificare anche la tua soluzione
Che ne pensi di
$nome_utente = str_replace("'", '& # 0 3 9 ;', $_POST['nome_utente']);
La funzione per effettuare le operazioni di messa in sicurezza dei dati passati nelle query da lanciare su mysql è mysql_real_escape_string, ne più ne meno
Poi, per comodità, i dati è meglio inserirli "puliti", nel senso che se php, a causa del flag magic_quote_gpc, effettua l'escape di tutti gli apici è meglio toglierli altrimenti succederà un gran casotto.
www.php.net/mysql_real_escape_string
www.php.net/stripslashes
il mio consiglio è anche quello di evitare di salvare nel database testo contenente le entità HTML perché nel database ci vanno i dati e questi, poi, vanno forniti al client, che in questo specifico caso è il browser, che "potrebbe" beneficiarne dall'avere le entità html ... però i dati nel database devono stare "puliti"
The fastest Redis alternative ... cachegrand! https://github.com/danielealbano/cachegrand
Permessi di invio
Rispondi quotando