Sto cercando di creare un sito web sicuro. Qualcuno può farmi sapere se questo è suscettibile all'iniezione SQL? Se lo è, potresti fornirmi un exmaple di una dichiarazione che potrebbe funzionare per l'iniezione? Ho provato a iniettarlo da solo, ma la mia connessione è appena scaduta. Grazie.
$db = new PDO("mysql:host=$dbhost;dbname=$dbname", $dbuser, $dbpass);
$db->query("INSERT INTO Name(Name) VALUES ('$firstname')");
No, non esistono servizi igienico-sanitari o l'escaping delle citazioni trovate nello snippet presupponendo che $firstname sia l'input fornito dall'utente. Niente mi impedisce di modificare la tua query. Questo articolo OWASP spiegherà quanto sarebbe facile e il loro esempio da vicino assomiglia a quello che stai cercando di fare.
Dovresti considerare di leggere su come utilizzare istruzioni preparate e filtering your input per indurire il tuo codice.
Leggi altre domande sui tag php sql-injection