Salve,
ho un dubbio a cui non ho risposta. I dati che passo nel database passati tramite get e post devo processarli con mysql escape string, quello che mi chiedo è:
serve farlo anche per i dati passati con form select e per quelli con campo hidden?
se lo faccio è superfluo o anche se lo faccio in fin dei conti non è che sia un errore?
sarebbe cosa buona e giusta filtrare anche loro
(comunque mysql_real_escape_string potrebbe non bastare)
TUTTI i dati che ricevi dal client vanno considerati potenzialmente insicuri, non ci vuole niente a manomettere un campo hidden o il valore di una select. Controlla sempre i dati che ricevi e usa i prepared statements per proteggerti dalle injection.Originariamente inviato da uomo_duff
Salve,
ho un dubbio a cui non ho risposta. I dati che passo nel database passati tramite get e post devo processarli con mysql escape string, quello che mi chiedo è:
serve farlo anche per i dati passati con form select e per quelli con campo hidden?
se lo faccio è superfluo o anche se lo faccio in fin dei conti non è che sia un errore?
Permessi di invio
Rispondi quotando