Attualmente sto studiando le iniezioni SQL più basilari che sono possibili. Puro e unicamente allo scopo di insegnarmi le basi prima di passare a quelle più avanzate. Sto ricreando questa situazione con la seguente affermazione:
$result = $dbConnect->query("INSERT INTO UserTable VALUES (NULL,'$name','$email', '$userName', '1')");
Ho alcune domande riguardo questa affermazione (so che questa è una cattiva pratica, ma voglio iniziare come base possibile).
- È possibile iniettare qualcosa in questo anche se è in una dichiarazione if?
- Come puoi evitare questa query?
- C'è la possibilità di echeggiare l'intera istruzione in modo da ottenere più informazioni nel php utilizzato, il che significa che l'intera query dei risultati viene echeggiata a causa del codice inserito?
- Se questo ha una potenziale situazione di iniezione SQL. Ci sono persone abbastanza stupide da codificare in questo modo?
Grazie in anticipo!