mio81
11-09-2006, 14:04
Salve a tutti,
devo inserire del testo proveniente da una textarea di un form html, via POST HTTP, in un campo di un record.
Il tutto usando php e pear db (l'hosting provider mi concede solo il package DB e non i due MDB e MDB2).
Da quello che ho letto, uno dei rischi + grossi è che qualcuno faccia un SQL injection, ovvero metta un pezzo di codice SQL nella mia textarea e, con i dovuti caratteri di escape, faccia quello che vuole con il mio DB.
Se inserisco il parametro usando la coppia di metodi prepare(SQL_Parametrizzata_Con_???) / execute(Parametri), sono al sicuro da questo tipo di attacchi, o mi consigliate di filtrare il testo con altre funzioni, prima?
Grazie.
devo inserire del testo proveniente da una textarea di un form html, via POST HTTP, in un campo di un record.
Il tutto usando php e pear db (l'hosting provider mi concede solo il package DB e non i due MDB e MDB2).
Da quello che ho letto, uno dei rischi + grossi è che qualcuno faccia un SQL injection, ovvero metta un pezzo di codice SQL nella mia textarea e, con i dovuti caratteri di escape, faccia quello che vuole con il mio DB.
Se inserisco il parametro usando la coppia di metodi prepare(SQL_Parametrizzata_Con_???) / execute(Parametri), sono al sicuro da questo tipo di attacchi, o mi consigliate di filtrare il testo con altre funzioni, prima?
Grazie.