Ciao come posso proteggermi dalle xss...
io dovrei metterli nel database
tipo cosi
Codice PHP:$query_sa = ("INSERT INTO nome (nome, mail) VALUES (".$_POST['nome'].", ".$_POST['mail'].") ") or die(mysql_error());
Printable View
Ciao come posso proteggermi dalle xss...
io dovrei metterli nel database
tipo cosi
Codice PHP:$query_sa = ("INSERT INTO nome (nome, mail) VALUES (".$_POST['nome'].", ".$_POST['mail'].") ") or die(mysql_error());
Forse intendi l'SQL Injection? Fai passare le variabili attraverso mysql_real_escape_string().
scusa le variabili per essere piu sicure secondo te questo basta giusto...
come dovrei farle passare attraverso mysql_real_escape_string()... in che modo
usando $query_sa = ("INSERT INTO nome (nome, mail) VALUES (".$_POST['nome'].", ".$_POST['mail'].") ") or die(mysql_error());
Io passo tutti i dati via post prima di eseguire una query:
E poi esegui normalmente la queryCodice PHP:foreach($_POST as $key => $value) {
$_POST[$key] = mysql_real_escape_string($value);
}
tu dici prima di fare la query dovrei mettere foreach($_POST as $key => $value) {
$_POST[$key] = mysql_real_escape_string($value);
}
per risolvere giusto
Si, cosė eviti le SQL Injection
cosi tu dici
Citazione:
foreach($_POST as $key => $value) {
$_POST[$key] = mysql_real_escape_string($value);
$query_sa = ("INSERT INTO nome (nome, mail) VALUES (".$_POST['nome'].", ".$_POST['mail'].") ") or die(mysql_error());
}}
No! Il foreach va prima, quello dopo!
il foreach serve a 'pulirti' le varibili $_POSTCodice PHP:foreach($_POST as $key => $value) {
$_POST[$key] = mysql_real_escape_string($value);
}
$query_sa = ("INSERT INTO nome (nome, mail) VALUES ('".$_POST['nome']."', '".$_POST['mail']."') ") or die(mysql_error());
sono riuscito a passare il controllo non so se si puo definire una xxs o sql ecc
ma mettendo nel input tipo
<title>ciao</title>
nella pagina vista compare ciao
Vedi htmlentities
si lo conosco per il problema e che non so come passarlo usando
$query_sa = ("INSERT INTO nome (nome, mail) VALUES ('".$_POST['nome']."', '".$_POST['mail']."') ") or die(mysql_error());
Codice PHP:$query_sa = ("INSERT INTO nome (nome, mail) VALUES ('".htmlentities($_POST['nome'])."', '".htmlentities($_POST['mail'])."') ") or die(mysql_error());
Ti ringrazio ci sono riuscito funziona^^