PHP injection

[dukeilduca]

ciao ragazzi, vi pongo due domande da vero ignorante in materia:

1) C'è maggiore possibilità di avere un PHP injection attraverso dei form che mandano dei dati a dei database mysql rispetto a delle pagine.php che ricevono unicamente dei dati da dei database?

2) Se le pagine php che interagiscono con un database mysql (soprattutto per quel che riguarda l'inserimento dei dati da un form al database) fanno parte di una sezione del sito protetta da password ci sono meno possibilità di avere dei problemi di php injection?

Saluti!

[simotenax]

se la sezione protetta gestisce gli utenti tramite il db non risolvi il problema ma sei allo stesso punto di partenza.. per prevenire l'injection devi prima effettuare un controllo sui dati prima di costruire una query.. più semplicemente facendo escape di caratteri come gli apici, per un meccanismo più sicuro è meglio che usi dei controlli a espressioni regolari..

[k.b]

oppure
3) scrivi query sicure e ti dimentichi del problema

[dukeilduca]

eheh.. quello che scrivete per me è arabo! sono agli inizi per la programmazione php-mysql e mi sa che c'è ancora tanta strada da fare... per esempio cosa significa "fare escape di caratteri come gli apici"? E per le query sicure le scriverei se solo sapessi come fare...

Comunque il sito che sto creando non prevede una registrazione di utenti... semplicemente la registrazione di altri amministratori che possono modificare dati e basta. Per il resto, il lato non amministrabile è composto da pagine html e pagine php che riportano dati del database senza la possibilità (almeno diretta) di inserire altri record nel database. Per la precisione si tratta di mostrare delle statistiche e cose del genere...