[Php-it] SQL Inject
Ilias Bartolini
ilias.bartolini at gmail.com
Fri Dec 29 12:50:56 CET 2006
On Friday 29 December 2006 00:51, michel wrote:
> Voi cosa utilizzate per prevenire attacchi di tipo SQL Inject ?
> Io di solito controllo che ogni dato passato sia del tipo che mi aspetto
> di ricevere (ad esempio un intero) e se non contienre caratteri non
> consentiti (tipo [] {} ; .). Fatto questo vado di addslashes().
Io solitamente in una sezione del codice ben distinta che sta ad inizio pagina
valido tutto l'input affinché sia esattamente nel formato che mi aspetto con
regex ed altro.
Al momento delle query su db per l'escape di stringhe, usando PEAR::DB
utilizzo db->quote()
...questa parte sta comunque separata nelle parti di codice che hanno la
competenza di gestire la persistenza su DB.
Ilias
--
/**
* Reply to: ilias.bartolini(at)gmail.com
* ICQ# 42797710 - PGP Key-ID:0xC6867602
* http://zatoichi.homeip.net - will write free code for food
*/
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: not available
Url : http://lists.ziobudda.net/pipermail/php-it/attachments/20061229/ecac107f/attachment.pgp
More information about the Php-it
mailing list