MySql Injections

[danielloantonio]

Salve,
ho un sito composto da un centinaio di pagine e quasi tutte eseguono query! tutte queste richiedono ('require') un file di accesso al data base! ora volevo sapere se posso inserire un codice in questo file di connessione contro le mysql injections per evitare di inserirlo in tutte le pagine il che sarebbe una faticaccia! magari una funzione che per ogni $_POST o $_GET trasforma ' e " in "
qualcuno potrebbe aiutarmi?

Grazie a tutti in anticipo

 

[borgo italia]

ciao
certo che puoi
nel file connessione.php (se si chiama così) aggiungi

<?php
function trasforma($str){
	return htmlspecialchars($str);
	//oppure return addslashes($str);
}
//.. ecc dati di connessione
?>

poi negli altri file, dopo il reguire

<?php
//....
$stringa=trasforma($_POST['pinco']); //o il $_GET
//....
?>

però non so se ti convenga fare direttamente

<?php
//....
$stringa=htmlspecialchars($_POST['pinco']);
//....
?>

forse fai prima perchè comunque devi andare a toccare i vari post/get.
forse, ma da provare è fare un altro file da includere (o sempre direttamente) appena prima di usare i vari post
file pulisci.php

<?php
$_POST=array_map("htmlspecialchars",$_POST);//o anche con arry_filter
?>

e dove ti serve (schematizzo)

<?php
//......
if(isset($_POST['submit'])){
	require_once "pulisci.php";
	$pinco=$_POST['pinco'];
	$pallo=$_POST['pallo'];
	//........
}
//.....
?>

a te decidere quale fai prima ad usare e verificare il funzionamento

 

[danielloantonio]

Wow grazie mille !!!