Uhm.... premesso che non uso php e mysql da secoli, il concetto è il seguente:
Invece di costruire la stringa sql da dare in pasto a mysql bell'e pronta (esempio: SELECT * from USER where USERNAME = 'Claudio'), si costruisce una query generica (SELECT * from USER where USERNAME = :1) e poi si effettua un bind indicando al database di usare la variabile 'Claudio' al posto del parametro :1.
In tal modo il culetto dovrebbe essere un pizzico più protetto dal SQL injection
(Adesso guardo se trovo qualcosa di più comprensibile di quello che ho scritto).
Comunque dai un occhio qui:
http://www.petefreitag.com/item/356.cfm
Quando so che un'applicazione dovrà essere sottoposta a security audit, non ammetto query non parametriche in giro per il codice (con grande gioia di chi se le deve riscrivere).![]()
Niet.
Un conto è costruire la query a tocchi usando delle variabili (tra cui alcune immesse dall'utente).
Un ALTRO conto è usare una query con parametri variabili e poi fare un bind.
Nel primo caso se non stai attento te lo infilano, nel secondo caso è più difficile![]()
hai ragione, questa cosa non la conoscevo
quì ho trovato delle cose interessanti
http://forum.html.it/forum/showthrea...hreadid=624870
anche questo comunque è abbastanza "paranoico"![]()
L'unica persona a cui mi sento superiore è me stesso del giorno precedente.
~always looking at the sky
Segnalibri