LinkBack URL
About LinkBacksCiao a tutti
scusate la domanda niubba ma... Ha senso prevenire le SQL Injections se mi trovo in un'area protetta da password (quindi parlo dei campi per cui già sono autenticato nel sistema) e le tabelle che vado ad interrogare non contengono dati significativi alla sicurezza del sistema?
Visualizzazione risultati 1 fino 9 di 9
Discussione: Sql injection
-
17-10-2009, 13.25.27 #1Guest
Sql injection
-
17-10-2009, 23.35.36 #2Guest
no, però visto che non costa niente è meglio prevenire!
-
18-10-2009, 00.18.44 #3
Super Moderatore
- Data registrazione
- 22-02-2004
- Messaggi
- 6,306
mysql_real_escape_string() ovunque, non costa tanto.
Ultima modifica di dreadnaut : 18-10-2009 alle ore 00.19.47
-
18-10-2009, 14.05.44 #4
AlterGuru
- Data registrazione
- 08-02-2004
- Messaggi
- 1,413
se ne sei sicuro al 100% (mai esserlo) guarda le "union", permettono di fare tante cose ;)
"Quando il potere dell'amore supererà l'amore per il potere il mondo conoscerà la pace" Jimmy Hendrix
[ Richiesta: http://www.unibologna.eu/ ] --> [Risposta: http://www.magazine.unibo.it/Magazin...al_Portale.htm Morale] -->[ http://www.anti-phishing.it/news/art...s.13062007.php ]
consoliwebsite.altervista.org
-
19-10-2009, 14.23.36 #5Guest
Io di solito, oltre al mysql_real_escape_string(); uso anche stripslashes(); (stripslashes la metto per prima). Non ricordo neppure il perchè, studiai così e mi è presa come abitudine
@dreadnaut: troppo forte la vignetta
Anyway, grazie a tutti per i consigli
-
19-10-2009, 14.38.21 #6
Utente attivo
- Data registrazione
- 06-10-2009
- Residenza
- $this->s50
- Messaggi
- 467
stripslashes e mysql_real_escape_string
!!!
Così annulleresti il risultato
Renditi conto che stripslashes rimuovere gli slash e mysql_real_escape_string gli aggiunge!
Renditi conto un pò tu :D! Al limite stripslashes la usi dopo mysql_real_escape_string...Codice PHP:$stringa = "'); DROP TABLE students -- ?";
echo stripslashes(mysql_real_escape_string($stringa)); // stampa '); DROP TABLE students -- ?
echo mysql_real_escape_string($stringa); // stampa \'); DROP TABLE students -- ?
-
19-10-2009, 15.04.20 #7Guest
Ad una prima impressione ricordo di aver avuto le tue stesse conclusioni, che se non sbaglio sono errate. Vengono rimessi i caratteri di escape per i caratteri utili ai fini dell'injection, per gli altri no.
Originalmente inviato da mycarlo
stripslashes e mysql_real_escape_string!!!
Così annulleresti il risultato
Renditi conto che stripslashes rimuovere gli slash e mysql_real_escape_string gli aggiunge!
Renditi conto un pò tu :D! Al limite stripslashes la usi dopo mysql_real_escape_string...Codice PHP:$stringa = "'); DROP TABLE students -- ?";
echo stripslashes(mysql_real_escape_string($stringa)); // stampa '); DROP TABLE students -- ?
echo mysql_real_escape_string($stringa); // stampa \'); DROP TABLE students -- ?
-
19-10-2009, 15.29.30 #8
Utente attivo
- Data registrazione
- 06-10-2009
- Residenza
- $this->s50
- Messaggi
- 467
E l'apice o apostrofo non è un carattere ai fini di injection?
-
19-10-2009, 16.19.27 #9
Super Moderatore
- Data registrazione
- 22-02-2004
- Messaggi
- 6,306
Se mksoftware usa stripslashes prima di mysql_real_escape_string, non c'è nessun problema.
Anzi, è spesso utile farlo per evitare la moltiplicazione degli slash nei valori passati via $_POST, visto che su AlterVista è attivato magic_quotes.Codice PHP:$valore = @strip_slashes($_POST['qualcosa']);
$valoresicuro = mysql_real_escape_string($valore);
Più che aggiungere stripslashes, io preferisco disattivare quest'ultima opzione aggiungendo nel file .htaccessCodice:php_value magic_quotes_gpc off
Ultima modifica di dreadnaut : 19-10-2009 alle ore 16.20.57
