Sistema anti MySQLi Injection?

Fez Vrasta

Utente Attivo
11 Mag 2013
409
0
0
Ho pensato ad un sistema per prevenire MySQL Injection ma non so se possa davvero essere utile...

Pensavo, al posto che scrivere le query tipo:

PHP:
$query = "INSERT INTO 'table' WHERE 'row' = '" . $field . "';"
$mysqli->query($query);

Si potrebbe fare:

PHP:
$field =  str_replace("§@","", $query);
$query = "INSERT INTO §@table§@ WHERE §@row§@ = §@" . $field . "§@;"
$query = str_replace("'","", $query);
$query = str_replace("§@","'", $query);
$mysqli->query($query);

In questo modo verrebbero cancellate eventuali virgolette inserite dall'utente nella query nel tentativo di iniettare codice, e verrebbero convertite soltanto le virgolette scritte "§@"
Così il malintenzionato non può sapere quale combinazione di caratteri stiamo usando per indicare le virgolette e non può iniettare nulla quindi.

è fattibile o sto dicendo una cassata?
 
Prova a lavorarci quando devi usare il contenuto del form come post in un forum che utilizza markdown e che deve permettere di editare i messaggi dopo averli postati mantenendoli in markdown >_>

Quel coso mi distruggeva il markup facendo escape a muzzo :(
 
Prova a lavorarci quando devi usare il contenuto del form come post in un forum che utilizza markdown e che deve permettere di editare i messaggi dopo averli postati mantenendoli in markdown >_>

Quel coso mi distruggeva il markup facendo escape a muzzo :(
Bah bastava che te li gestivi un po, comunque allora rimangono gli statement da poter utilizzare oppure una funzione personalizzata(cosa sconsigliata)
 

Discussioni simili