Visualizzazione risultati 1 fino 4 di 4

Discussione: salvare query inviate a database

  1. 02-04-2010, 17.49.00 #1
    L'avatar di skydrake
    skydrake
    skydrake non è connesso Utente
    Data registrazione
    22-04-2006
    Residenza
    Verona
    Messaggi
    218

    Predefinito salvare query inviate a database

    buondì forum.

    quello che voglio fare è salvare le query che le mie pagine inviano al database e mi servirebbe una funzione che inserisca in automatico tutti i possibili escape del caso, sperando che esista la funzione ed esistano gli escape necessari per poterlo fare.

    quindi per esempio, se io dovessi avere una chiamata generica del tipo

    Codice PHP:
    <?
    $QUERY    ="SELECT * FROM pippo WHERE pluto='paperino'";
    $RIS=mysql_query($QUERY,$CONN) or die("porcazzozza");
    ?>
    vorrei modificarla con qualcosa del genere

    Codice PHP:
    <?
    $QUERY    ="SELECT * FROM pippo WHERE pluto='paperino'";
    $RIS=mysql_query($QUERY,$CONN) or die("porcazzozza");
    $QUERYPURIFICATA=esorcizza($QUERY);
    $QUERY="INSERT INTO tuttelequery(stringa) VALUES ('$QUERYPURIFICATA')"
    $RIS=mysql_query($QUERY,$CONN) or die("porcavacca");
    ?>
    che funzione devo usare che chiaramente al posto di "esorcizza"?


    Si, la mia firma cambia immagine continuamente! :)
  2. 02-04-2010, 19.50.45 #2
    Guest

    Predefinito

    se non ho capito male tu vuoi memorizzare la query nel database ?

    Codice PHP:

    $QUERY    ="SELECT * FROM pippo WHERE pluto='paperino'";
    $RIS=mysql_query($QUERY,$CONN) or die("porcazzozza");
    $QUERYPURIFICATA=$QUERY;
    $QUERY="INSERT INTO tuttelequery(stringa) VALUES ('$QUERYPURIFICATA')"
    $RIS=mysql_query($QUERY,$CONN) or die("porcavacca");

    dovrebbe funzionare
  3. 02-04-2010, 19.55.33 #3
    L'avatar di skydrake
    skydrake
    skydrake non è connesso Utente
    Data registrazione
    22-04-2006
    Residenza
    Verona
    Messaggi
    218

    Predefinito

    questa non funziona proprio perchè mancano gli escape.

    la nuova query diventerebbe chiaramente


    INSERT INTO tuttelequery(stringa) VALUES ('SELECT * FROM pippo WHERE pluto='paperino'')

    e come vedi gli apici creeranno dei problemi.

    un po' un problema alla sqlinjection... solo che è automasochismoautoinjection... :)

    comunque rispondere all'intervento mi è stato utile, googlando sqlinjection in wiki ho trovato il riferimento cercato alla funzione addslashes

    il codice che cercavo è

    Codice PHP:
    <?
    $QUERY    ="SELECT * FROM pippo WHERE pluto='paperino'";
    $RIS=mysql_query($QUERY,$CONN) or die("porcazzozza");
    $QUERYPURIFICATA=addslashes($QUERY);
    $QUERY="INSERT INTO tuttelequery(stringa) VALUES ('$QUERYPURIFICATA')"
    $RIS=mysql_query($QUERY,$CONN) or die("porcavacca");
    ?>
    Ultima modifica di skydrake : 02-04-2010 alle ore 19.59.56


    Si, la mia firma cambia immagine continuamente! :)
  4. 02-04-2010, 19.57.47 #4
    L'avatar di javascripter
    javascripter
    javascripter non è connesso Moderatore
    Data registrazione
    14-02-2010
    Messaggi
    1,114

    Predefinito

    Mai sentita mysql_real_escape_string?
« Discussione precedente | Prossima discussione »

Regole di scrittura

  • Non puoi creare nuove discussioni
  • Non puoi rispondere ai messaggi
  • Non puoi inserire allegati.
  • Non puoi modificare i tuoi messaggi
  •  

Regole del forum