PDA

View Full Version : [php/sql] sql injection

$te
29-04-2008, 16:42
come evitarlo al 99%?
Io programmare so programmare..pero sono nuovo in campo php, e ho visto oggi un articolo sull'ondata di injection..e mi sono spaventato:D

grazie
amedeoviscido
29-04-2008, 19:51
Beh se usi le stringhe all'interno delle virgolette singole non dovresti dare all'utente la possibilità i usarle, quantomeno...
vizzz
29-04-2008, 20:13
php di default dovrebbe fare l'escape automatico dei campi passati in POST, controlla in php.ini
$te
01-05-2008, 11:17
Beh se usi le stringhe all'interno delle virgolette singole non dovresti dare all'utente la possibilità i usarle, quantomeno...

cioé?
$te
06-05-2008, 17:33
spiegazione per un ignorante?
kk3z
06-05-2008, 21:37
Guarda get_magic_quotes_gpc (http://it.php.net/get_magic_quotes_gpc) e magic-quotes-gpc (http://it.php.net/manual/en/info.configuration.php#ini.magic-quotes-gpc)
cdimauro
06-05-2008, 21:53
come evitarlo al 99%?
Io programmare so programmare..pero sono nuovo in campo php, e ho visto oggi un articolo sull'ondata di injection..e mi sono spaventato:D

grazie
Butta via le famigerate funzioni mysql_* e passa a PDO, che gestisce in maniera trasparente il passaggio dei parametri.
$te
07-05-2008, 09:02
Butta via le famigerate funzioni mysql_* e passa a PDO, che gestisce in maniera trasparente il passaggio dei parametri.
hehe..nn dirmi cosi ke ho appena iniziato con mysql:P
cdimauro
07-05-2008, 23:06
Guarda che non devi cambiare engine: utilizzeresti sempre MySQL, ma usando un'interfaccia (PDO) decisamente migliore e più comoda. ;)
$te
08-05-2008, 10:35
ah....ma quindi cosé? mi puoi fare na breve descrizione?:D quindi potrei ancora utilizzare il database che ho creato?
vizzz
08-05-2008, 13:22
ah....ma quindi cosé? mi puoi fare na breve descrizione?:D quindi potrei ancora utilizzare il database che ho creato?

http://it.php.net/pdo