Comments on: Potenziale SQL Injection con AdoDB e driver mysqli http://www.massimo-caselli.com/2008/12/29/sql-injection-con-adodb-estensione-mysqli/ Articoli, news e pillole sul mondo LAMP e l'opensource. Pillole di C# Mon, 16 Jan 2012 15:13:01 +0000 hourly 1 http://wordpress.org/?v=3.1 By: maxgrante http://www.massimo-caselli.com/2008/12/29/sql-injection-con-adodb-estensione-mysqli/comment-page-1/#comment-27241 maxgrante Tue, 30 Dec 2008 20:19:04 +0000 http://www.massimo-caselli.com/?p=156#comment-27241 Aggiungo che facendo qualche test, se al posto di utilizzare la sintassi: $sql = "SELECT * FROM tbl1 WHERE id = ".$_GET['id']; Usiamo: $sql = "SELECT * FROM tbl1 WHERE id = "'".$_GET['id']."'"; Facendo un corretto escape di ' e " di fatto evitiamo che il ; e la restante parte di SQL vengano interpretati come statement SQL ma semplicemente finiranno per essere considerati facenti parte della stringa di ricerca nel campo di id e la query non darà risultati o alla peggio, fallirà. Resta comunque inteso che fare controlli di formalità resta senza dubbio la migliore soluzione. Aggiungo che facendo qualche test, se al posto di utilizzare la sintassi:

$sql = “SELECT * FROM tbl1 WHERE id = “.$_GET['id'];

Usiamo:

$sql = “SELECT * FROM tbl1 WHERE id = “‘”.$_GET['id'].”‘”;

Facendo un corretto escape di ‘ e ” di fatto evitiamo che il ; e la restante parte di SQL vengano interpretati come statement SQL ma semplicemente finiranno per essere considerati facenti parte della stringa di ricerca nel campo di id e la query non darà risultati o alla peggio, fallirà.

Resta comunque inteso che fare controlli di formalità resta senza dubbio la migliore soluzione.

]]> By: Potenziale SQL Injection con AdoDB e driver mysqli | PHP-Blog.com http://www.massimo-caselli.com/2008/12/29/sql-injection-con-adodb-estensione-mysqli/comment-page-1/#comment-27189 Potenziale SQL Injection con AdoDB e driver mysqli | PHP-Blog.com Tue, 30 Dec 2008 04:02:38 +0000 http://www.massimo-caselli.com/?p=156#comment-27189 [...] more from the original source: Potenziale SQL Injection con AdoDB e driver mysqli Related ArticlesBookmarksTags Using PHP and MySQL to Develop a Simple CMS - Version 1 In [...] [...] more from the original source: Potenziale SQL Injection con AdoDB e driver mysqli Related ArticlesBookmarksTags Using php and mysql to Develop a Simple CMS – Version 1 In [...]

]]>