Ciao, poniamo di aver uno script cosi:
PHP:
$query = "DELETE from tabella WHERE id = " . $_GET['id'];
finchè ti arriva l'id ok ma su qualcuno dovesse passarti una stringa simile
PHP:
$_GET['id'] = "1 || 1=1";
la tua query diventerebbe
Codice:
DELETE from tabella WHERE id = 1 || 1=1
di conseguenza la tua tabella verrebbe svuotata
per questo è consigliato verificare qualsiasi tipo di dato che arriva sia in get che in post
in questo caso visto che ci aspettiamo un intero puo essere un inizio verificare che sia numerico
PHP:
if (is_numeric($_GET['id'])) {
$query = "DELETE from tabella WHERE id = " . $_GET['id'];
} else {
die("parametro non valido");
}
questo tipo di esempio cmq è molto pericoloso perche potrei richiamare facilmente la tua pagina in un ciclo passandoti continuamente id diversi
non essere mai avaro sui controlli perche in giro c'è gente che se ne sbatte dsel lavoro degli altri , dipende poi cosa ci devi fare