Re: sk informatico : sql injection
no, no, ho capito....è solo che non so quanto possa essere lunga la cosaOriginariamente Scritto da diego72
Uhm.... premesso che non uso php e mysql da secoli, il concetto è il seguente:
Invece di costruire la stringa sql da dare in pasto a mysql bell'e pronta (esempio: SELECT * from USER where USERNAME = 'Claudio'), si costruisce una query generica (SELECT * from USER where USERNAME = :1) e poi si effettua un bind indicando al database di usare la variabile 'Claudio' al posto del parametro :1.
In tal modo il culetto dovrebbe essere un pizzico più protetto dal SQL injection
(Adesso guardo se trovo qualcosa di più comprensibile di quello che ho scritto).
da implementare...
Cmq get_magic_quotes dovrebbe bastare...
Cl.
"S'è la notizia fossi confermata sarò zio."
Re: sk informatico : sql injection
Comunque dai un occhio qui:no, no, ho capito....è solo che non so quanto possa essere lunga la cosa
da implementare...
Cmq get_magic_quotes dovrebbe bastare...
Cl.
http://www.petefreitag.com/item/356.cfm
Quando so che un'applicazione dovrà essere sottoposta a security audit, non ammetto query non parametriche in giro per il codice (con grande gioia di chi se le deve riscrivere).
Permessi di Scrittura
Rispondi Citando
Segnalibri