MySql Injections

danielloantonio

Utente Attivo
20 Lug 2012
110
0
0
Salve,
ho un sito composto da un centinaio di pagine e quasi tutte eseguono query! tutte queste richiedono ('require') un file di accesso al data base! ora volevo sapere se posso inserire un codice in questo file di connessione contro le mysql injections per evitare di inserirlo in tutte le pagine il che sarebbe una faticaccia! magari una funzione che per ogni $_POST o $_GET trasforma ' e " in "
qualcuno potrebbe aiutarmi?

Grazie a tutti in anticipo :D
 
ciao
certo che puoi
nel file connessione.php (se si chiama così) aggiungi
PHP:
<?php
function trasforma($str){
	return htmlspecialchars($str);
	//oppure return addslashes($str);
}
//.. ecc dati di connessione
?>
poi negli altri file, dopo il reguire
PHP:
<?php
//....
$stringa=trasforma($_POST['pinco']); //o il $_GET
//....
?>
però non so se ti convenga fare direttamente
PHP:
<?php
//....
$stringa=htmlspecialchars($_POST['pinco']);
//....
?>
forse fai prima perchè comunque devi andare a toccare i vari post/get.
forse, ma da provare è fare un altro file da includere (o sempre direttamente) appena prima di usare i vari post
file pulisci.php
PHP:
<?php
$_POST=array_map("htmlspecialchars",$_POST);//o anche con arry_filter
?>
e dove ti serve (schematizzo)
PHP:
<?php
//......
if(isset($_POST['submit'])){
	require_once "pulisci.php";
	$pinco=$_POST['pinco'];
	$pallo=$_POST['pallo'];
	//........
}
//.....
?>
a te decidere quale fai prima ad usare e verificare il funzionamento
 

Discussioni simili