Ciao a tuttiSto creando un sito in cui ci sono degli articoli estratti da un database mysql.
Ho una pagina articolo.php in cui estraggo l'articolo dal database in base alla variabile 'id' che mi arriva tramite GET da un'altra pagina. Ora: mi arriva la variabile ma io la inserisco direttamente nella query che mi estrae l'articolo ecome unico controllo ho qualche if che evita che non sia vuota. Devo fare altri controlli sulla variabile, quali? Grazie
Puoi utilizzare la funzione mysql_real_escape_string() sui parametri che ricevi in GET.
"Mai discutere con un idiota. Ti trascina al suo livello e ti batte con l'esperienza." (Oscar Wilde)
mi sollevava questa eccezione:
Warning: mysql_real_escape_string() [function.mysql-real-escape-string]: Access denied for user ''@'localhost' (using password: NO) in sendQuery.php on line 102
Ho letto che devo effettuare prima l'accesso al db però nella pagina che chiama sendQuery.php l'ho già fatta la connessione! Se la rifaccio in sendQuery.php funziona ma è normale ?? Cioè io mi connetto 2 volte, una dalla pagina che richiama sendQuery e l'altra in sendQuery....
E' nella pagina articolo.php che devi controllare tramite la funzione mysql_real_escape_string() che il parametro che ti arriva non contenga cose strane, ma sia realmente l'ID che ti aspetti.
Inoltre puoi anche evitare di passare l'ID in GET passandolo come variabile hidden in POST oppure mettendolo in sessione.
"Mai discutere con un idiota. Ti trascina al suo livello e ti batte con l'esperienza." (Oscar Wilde)
Io ricevo la variabile in articolo.php -> la controllo con la funzione mysql_real_escape_string() -> creo la query -> invio la query.
Giusto ?
Si.Originariamente inviato da Cawletto
Io ricevo la variabile in articolo.php -> la controllo con la funzione mysql_real_escape_string() -> creo la query -> invio la query.
Giusto ?
"Mai discutere con un idiota. Ti trascina al suo livello e ti batte con l'esperienza." (Oscar Wilde)
Ok grazie
Permessi di invio
Rispondi quotando