Ho pensato ad un sistema per prevenire MySQL Injection ma non so se possa davvero essere utile...
Pensavo, al posto che scrivere le query tipo:
Si potrebbe fare:
In questo modo verrebbero cancellate eventuali virgolette inserite dall'utente nella query nel tentativo di iniettare codice, e verrebbero convertite soltanto le virgolette scritte "§@"
Così il malintenzionato non può sapere quale combinazione di caratteri stiamo usando per indicare le virgolette e non può iniettare nulla quindi.
è fattibile o sto dicendo una cassata?
Pensavo, al posto che scrivere le query tipo:
PHP:
$query = "INSERT INTO 'table' WHERE 'row' = '" . $field . "';"
$mysqli->query($query);
Si potrebbe fare:
PHP:
$field = str_replace("§@","", $query);
$query = "INSERT INTO §@table§@ WHERE §@row§@ = §@" . $field . "§@;"
$query = str_replace("'","", $query);
$query = str_replace("§@","'", $query);
$mysqli->query($query);
In questo modo verrebbero cancellate eventuali virgolette inserite dall'utente nella query nel tentativo di iniettare codice, e verrebbero convertite soltanto le virgolette scritte "§@"
Così il malintenzionato non può sapere quale combinazione di caratteri stiamo usando per indicare le virgolette e non può iniettare nulla quindi.
è fattibile o sto dicendo una cassata?