mysql_real_escape_string

**Wilfred87** · 24-03-2011, 15:16

Salva a tutti ho un piccolo dubbio in merito alla protezione sulle SQl Iniectjon, sarebbe meglio inserire il controllo così:

$user=mysql_real_escape_string($_POST['nome']);

oppure inserire nella query prima il mysql così:

$insert=mysql_real_escape_string(mysql_query("INSE RT INTO prova. . . . ... ..

**bstefano79** · 24-03-2011, 15:23

la prima che hai detto

Indipendentemente dalla via che si decide di intraprendere, l'unico punto che dobbiamo avere ben chiaro è: controllare ogni input.

la seconda tra l'altro non ha senso poiche la funzione mysql_query non ti restituisce una stringa (anche se dato che php non è fortemente tipizzato non ti restituirà errore di sintassi)

**Wilfred87** · 24-03-2011, 15:29

Quindi in pratica se io avessi fatto così:

$insert=mysql_real_escape_string(mysql_query("INSE RT INTO prova. . . . ... ..

nel secondo caso ho sbagliato assolutamente quindi non c'è protezione, giusto?

Inoltre se io avessi anche la variabile già protetta con htmlentities come faccio? Cioè ripropongo tutto così:

$nome=mysql_real_escape_string(htmlentitis($_POST['nome'])); Così?

Oppure devo fare una varibile con htmlentitis e una con mysql_real_escape_string?

**bstefano79** · 24-03-2011, 15:37

la funzione htmlentitis non ti protegge dall'SQL injection quindi devi comunque controllare l'input, se ti va leggi questo articolino dove ci sono 4 tecniche che puoi nache combinare fra di loro

http://php.html.it/guide/lezione/298...sql-injection/

**Wilfred87** · 24-03-2011, 15:40

l'htmlentitis protegge dai cross site scripting poichè pulice l'input malevolo html, però io già proteggo quella varibile con l'htmlentitis posso proteggere anche dalle SQL iniectjon come avevo proposto su?

In attesa di risposta vado anche a leggermi la segnalazione ^_*

**bstefano79** · 24-03-2011, 15:44

si si
questo mi sembra giusto
$nome=mysql_real_escape_string(htmlentitis($_POST['nome']));

**Wilfred87** · 24-03-2011, 15:52

Ecco cosa intendevo, cioè una verifica completa della variabile sia per le SQL Iniectjon ma anche su Cross Site Scripting quindi io ad esempio ho questa Query che và ad inserire il tutto nel mio DB, dunque il dato sul Form viene filtrato con il POST quindi:

$prova1=mysql_real_escape_string(htmlentities($_PO ST['prova1']));

$insert=mysql_query("SELECT * FROM prova WHERE prova1='".$_POST['prova1']."');

Giusto? Fatto così sono coperto un minimo su i due tentati hackeraggi?

**bstefano79** · 24-03-2011, 16:08

sbagliato

se fai

Codice PHP:


$prova1=mysql_real_escape_string(htmlentities($_POST['prova1']));

e poi fai

Codice PHP:


$insert=mysql_query("SELECT * FROM prova WHERE prova1='".$_POST['prova1']."');

non hai risolto niente perchè $_POST['prova1'] è rimasto uguale a quello inserito dall'utente

devi invece fare così

Codice PHP:


$prova1=mysql_real_escape_string(htmlentities($_POST['prova1']));

$insert=mysql_query("SELECT * FROM prova WHERE prova1='".$prova1."');

ovvero inserire nella query la stringa processata dalle 2 funzioni mysql_real_escape_string e htmlentities

**Wilfred87** · 24-03-2011, 16:19

Ah vero, errore pardon, il POST ripetuto due volte ^__^

Gentilissimo ultima cosuccia, quindi con questo metodo posso comunque star sicuro sulle SQL Iniectjon e Cross Site Scripting?

**bstefano79** · 24-03-2011, 16:23

io direi di si, ma sono sempre pronto a ricredermi se qualcuno mi convince del contrario

Discussione: mysql_real_escape_string

Strumenti discussione

Ricerca discussione

Visualizza

mysql_real_escape_string

Permessi di invio