Layer 06

Proteggersi dalle sql injections

<![CDATA[L'incubo di ogni php-coder sono le php injection ovvere l'esecuzione arbitraria di codice SQL tramite form o url; in questo tutorial vedremo come difenderci. Ci sono vari modi di agire: Se la variabile deve essere INTEGER ad esempio un id, possiamo forzarla a diventare di quel tipo, con un semplice type casting:

<?php
$_GET[ “variabile” ] = (int) $_GET[ “variabile” ];
?>

Se invece è una stringa possiamo usare la funzione addslashes per trasformare ‘ e ” in ” e ” ed evitare così le injection:

<?php
$_GET[ “variabile” ] = addslashes($_GET[ “variabile” ]);
?>

Vi consiglio di dare un’occhiata all’articolo scritto nell’ormai lontano 2003. https://www.etechs.it/articoli/sql-injection.php riporta quanto si può fare per le sql injections.]]>
Exit mobile version