Sto facendo un sito per delle profumerie, ho fatto il motore di ricerca e continuandoil lavoro, un mio collaboratore, mi ha avvisato del bug delle ' e delle "
se si cerca nel motore l'apice non viene visualizzata il nome della query inviata:
trovati "numeri" risultati per "qua manca"
ma oltre a questo, vengono visualizzati TUTTI i dati del database...
vengono elencati tutti i record della tabella
non so come fare, potete aiutarmi?
Prima di passare la variabile al database filtrala attraverso la funzione:
codice:$nome_variabile = mysql_real_escape_string($nome_variabile);
e non solo vanno sempre controllate anche le gpc_quotes altrimenti ...
Codice PHP:
// PRE CONNESSIONE AL DATABASE GIA' STABILITA
$stringa = $_POST["stringa"] ;
if( get_magic_quotes_gpc() )
{
$stringa = stripslashes($stringa);
}
$stringa = mysql_real_escape_string($stringa);
Sistema il prima possibile perche' il tuo motore e' suscettibile a sql injection ... se nel capo ricerca un utente inserisce ' OR 1 [ + join o union si va a leggere quello che gli pare oppure puo' eseguire drop table etc....]
Grazie, risposte rapide e complete
virus, funziona completamente, perfetto. Vi faccio i miei comlimenti e grazie
bueno siamo sempre felici di darvi 1 mano
Per ogni altra cosa stiamo qua
Permessi di invio
Rispondi quotando