sk informatico : sql injection

**C.R.** · 14/01/2007, 15:26

C' è qualcuno che possa fornirmi un efficace script per impedire che in un
form possano essere digitati caratteri speciali di query SQL ?
(* ' " ) Grazie!
ovviamente, lato server e non Javascript!
Cl.

**NoSync** · 14/01/2007, 15:27

http://www.phpbuilder.com/columns/Pr...y_excerpt.php3

**C.R.** · 14/01/2007, 15:40

Grazie Alessio !

Cl.

**Luca D'inverno** · 15/01/2007, 14:10

in Vb processo la stringa e sostituisco i caratteri speciali prima di passarli al SQL. Ad esempio il classico ' sostituito con ´

**C.R.** · 15/01/2007, 14:19

Originariamente Scritto da Luca D'inverno

in Vb processo la stringa e sostituisco i caratteri speciali prima di passarli al SQL. Ad esempio il classico ' sostituito con ´

non uso Vb ma Php....

si , vorrei trovare Qulcs che sostituisca i caratteri speciali con degli spazi. O
vieti parole tipo "SELECT" o "FROM"...

Cl.

**kabodie** · 15/01/2007, 15:35

Se guardi come costruisce il codice dreamweaver...
Quel modo dovrebbe essere piuttosto sicuro

**C.R.** · 15/01/2007, 15:36

Originariamente Scritto da kabodie

Se guardi come costruisce il codice dreamweaver...
Quel modo dovrebbe essere piuttosto sicuro

Cioè Cioè....dimmi ti PREGO, che così mi risparmi un lavoro INFERNALE...

io l'ho visto...non mi sembra prenda così tante preccauzioni...
DOVE vieta i caratteri speciali ? (il form che ho fatto l'ho fatto propprio con
DW!)

Cl.

**kabodie** · 15/01/2007, 15:42

$pid_filespartita = "-1";
if (isset($_SESSION['nome_utente'])) {
$pid_filespartita = (get_magic_quotes_gpc()) ? $_SESSION['nome_utente'] : addslashes($_SESSION['nome_utente']);
}
mysql_select_db($database_gmonline, $gmonline);
$query_filespartita = sprintf("SELECT files.nome_file, files.stato, files.tipo_file,DATE_FORMAT(files.data_upload ,'%%d-%%m-%%Y %%T') AS data_upload, utenti.nome_utente,files.num_marche FROM files, utenti WHERE id_utenti=eid_utenti and (files.stato='NI' OR files.stato='PK' ) and files.tipo_file='PA' and utenti.nome_utente='%s' ORDER BY files.id_file", $pid_filespartita);
$filespartita = mysql_query($query_filespartita, $gmonline) or die(mysql_error());
$row_filespartita = mysql_fetch_assoc($filespartita);
$totalRows_filespartita = mysql_num_rows($filespartita);

guardando le prime 5 righe, non vieta certe parole, perchè potrebbero essere utili, metti che uno di cognome si chiama select, oppure from

ma non permette di usarle per scopi illegittimi

**C.R.** · 15/01/2007, 15:44

Originariamente Scritto da kabodie

guardando le prime 5 righe, non vieta certe parole, perchè potrebbero essere utili, metti che uno di cognome si chiama select, oppure from

ma non permette di usarle per scopi illegittimi

da dove si evince?(non sono un grande "phpàro"...) dalla funzione
magic_quotes? sennò io vedo stringhe in cui può essere messo tutto...

Cl.

**kabodie** · 15/01/2007, 15:54

get_magic_quotes dice se deve fare l'escape automatico delle variabili GET POST e REQUEST
per fare l'escape automatico si intende rendere i caratteri speciali non speciali, mettendo una / davanti, quindi vanno interpretati come puro testo, e non appunto caratteri speciali.

Quindi, se non è attiva nel php.ini, allora fa l'addslash(), ovvero fa l'escape perchè lo richiami tu tramite quella funzione.
Se invece è attiva nel php.ini, allora non serve fare l'addslashes, anzi, non va proprio fatto, altrimenti te lo trovi 2 volte.
quell'if lì serve proprio per rendere quel codice valido sempre, indifferentemente dal php.ini

Ciao