Proteggersi dalle sql injections


L’incubo di ogni php-coder sono le php injection ovvere l’esecuzione arbitraria di codice SQL tramite form o url; in questo tutorial vedremo come difenderci.

Ci sono vari modi di agire:

Se la variabile deve essere INTEGER ad esempio un id, possiamo forzarla a diventare di quel tipo, con un semplice type casting:

<?php

$_GET[ “variabile” ] = (int) $_GET[ “variabile” ];

?>

Se invece è una stringa possiamo usare la funzione addslashes per trasformare ‘ e ” in ” e ” ed evitare così le injection:

<?php

$_GET[ “variabile” ] = addslashes($_GET[ “variabile” ]);

?>

Vi consiglio di dare un’occhiata all’articolo scritto nell’ormai lontano 2003.

http://www.etechs.it/articoli/sql-injection.php

riporta quanto si può fare per le sql injections.

Proteggersi dalle sql injections ultima modifica: 2006-07-19T00:00:00+00:00 da Enrico

Related Posts

Comments are closed.