mysql injection
- Creatore Discussione marcomg
- Data di inizio
È molto più semplice se posti i sorgenti. Inoltre è facile risolvere il problema: basta effettuare l'escape di tutti i dati in input (almeno in un'applicazione così semplice).
I sorgenti li avevo già pubblicati, ma nessuno aveva più risposto alla mia discussione.
Inserisco solo la parte interessata!
Inserisco solo la parte interessata!
PHP:
<?php
$pid = $_GET['pid'];
$query = "SELECT * FROM `database` WHERE `pid` = '$pid'";
$query = "DELETE FROM `database` WHERE `database`.`pid` = '$pid'";
?>
Ultima modifica:
Visto che la tua è una risposta ad un intervento di Alex per rispetto lascerò a lui il compito di moderare ciò che c'è eventualmente da moderare. Qui nessuno ignora nessuno, in un forum a partecipazione volontaria può capitare che un post non riceva la necessaria attenzione, ciò non giustifica toni che non siano pacati.
Prima di tutto controlla con isset che $_GET['pid'] sia stato effettivamente inviato, poi filtralo con
mysql_real_escape_string se è una stringa o verificala con is_numeric se è un numero.
Prima di tutto controlla con isset che $_GET['pid'] sia stato effettivamente inviato, poi filtralo con
mysql_real_escape_string se è una stringa o verificala con is_numeric se è un numero.
Discussioni simili
