Sistema anti MySQLi Injection?

[Fez Vrasta]

Ho pensato ad un sistema per prevenire MySQL Injection ma non so se possa davvero essere utile...

Pensavo, al posto che scrivere le query tipo:

$query = "INSERT INTO 'table' WHERE 'row' = '" . $field . "';"
$mysqli->query($query);

Si potrebbe fare:

$field =  str_replace("§@","", $query);
$query = "INSERT INTO §@table§@ WHERE §@row§@ = §@" . $field . "§@;"
$query = str_replace("'","", $query);
$query = str_replace("§@","'", $query);
$mysqli->query($query);

In questo modo verrebbero cancellate eventuali virgolette inserite dall'utente nella query nel tentativo di iniettare codice, e verrebbero convertite soltanto le virgolette scritte "§@"
Così il malintenzionato non può sapere quale combinazione di caratteri stiamo usando per indicare le virgolette e non può iniettare nulla quindi.

è fattibile o sto dicendo una cassata?

 

[Nefyt]

Oppure più semplicemente real_escape_string

 

[Fez Vrasta]

ho avuto problemi con quella funzione malefica :ilpirata:

 

[Nefyt]

ho avuto problemi con quella funzione malefica :ilpirata:

tipo quali? a me non ha mai dato problemi, l'importante è non dimenticarsela

 

[Fez Vrasta]

Prova a lavorarci quando devi usare il contenuto del form come post in un forum che utilizza markdown e che deve permettere di editare i messaggi dopo averli postati mantenendoli in markdown >_>

Quel coso mi distruggeva il markup facendo escape a muzzo

 

[Nefyt]

Prova a lavorarci quando devi usare il contenuto del form come post in un forum che utilizza markdown e che deve permettere di editare i messaggi dopo averli postati mantenendoli in markdown >_>

Quel coso mi distruggeva il markup facendo escape a muzzo

Bah bastava che te li gestivi un po, comunque allora rimangono gli statement da poter utilizzare oppure una funzione personalizzata(cosa sconsigliata)

 

[Fez Vrasta]

Sì ma poi alla fine ho risolto