Salve ragazzi,
so che sembra una cosa chiesta e richiesta un milione di volte, ma non sto cercando una guida!
Vorrei sapere VOI OGGIGIORNO PERSONALMENTE OLTRE CIÒ CHE DICONO I TUTORIAL come vi adoperate per validare i form o qualunque input debba essere elaborato in php, prima di passarlo a Mysql, in termini di funzioni di PHP utilizzate.
es: check caratteri validi, regex o parsate a mano? escape stringhe: che funzioni usate?
Ai fini della sicurezza nell'inserimento di dati nel database, la soluzione in assoluto migliore e' usare una qualunque libreria separi la creazione delle query dall'assegnazione dei valori, cioe' i prepared statements. Generalmente uso le interfacce fornite dai framework con cui lavoro, o in alternativa PDO se lavoro senza framework.
Per quanto riguarda la validazione dell'input in generale, dipende troppo dai casi. Spesso bastano le funzioni di PHP (come ctype_*), in alternativa regexp (usate direttamente o tramite gli strumenti di validazione del framework se ne sto usando uno).
Io personalmente prima controllo se i campi sono vuoti, poi se il dato richiesto è del formato giusto (is_int() ecc), poi la lunghezza e poi dipende dal dato che deve inserire, se è una mail controllo la forma della mail, se è una password controllo che sia compresa da tot a tot caratteri ecc Ti sono stato d'aiuto?
Che mondo sarebbe senza Nutella.
PHP/MYSQL/HTML/CSS/JAVASCRIPT
non effettui escape delle stringhe da passare a mysql_query?Originariamente inviato da CiRi..Cuber
Io personalmente prima controllo se i campi sono vuoti, poi se il dato richiesto è del formato giusto (is_int() ecc), poi la lunghezza e poi dipende dal dato che deve inserire, se è una mail controllo la forma della mail, se è una password controllo che sia compresa da tot a tot caratteri ecc Ti sono stato d'aiuto?
Interessante, approfondirò i prepared statements!Originariamente inviato da k.b
Ai fini della sicurezza nell'inserimento di dati nel database, la soluzione in assoluto migliore e' usare una qualunque libreria separi la creazione delle query dall'assegnazione dei valori, cioe' i prepared statements. Generalmente uso le interfacce fornite dai framework con cui lavoro, o in alternativa PDO se lavoro senza framework.
Per quanto riguarda la validazione dell'input in generale, dipende troppo dai casi. Spesso bastano le funzioni di PHP (come ctype_*), in alternativa regexp (usate direttamente o tramite gli strumenti di validazione del framework se ne sto usando uno).
a si va bhe scusami avevo letto male, ma vedi che ti hanno già risposto..ciao!
Che mondo sarebbe senza Nutella.
PHP/MYSQL/HTML/CSS/JAVASCRIPT
Io uso mysql_real_escape_string() e il casting dei dati secondo il tipo di dato che andrà sulla Tabella... Inoltre uso gli apici ` per una maggiore sicurezza.
CrystalSoft | Software House & Web Agency di WinRefine, Mercante in Fiera e altro...
Annunci Zoo | Annunci gratuiti per il mondo degli Animali
ElettroMercatino | Annunci a tema Informatico ed Elettronico
Inoltre ti consiglio di guardare qui http://php.html.it/guide/lezione/298...sql-injection/
Che mondo sarebbe senza Nutella.
PHP/MYSQL/HTML/CSS/JAVASCRIPT
Permessi di invio
Rispondi quotando
