Questo script PHP è sicuro? [chiuso]

0

Sto cercando di creare un sito web sicuro. Qualcuno può farmi sapere se questo è suscettibile all'iniezione SQL? Se lo è, potresti fornirmi un exmaple di una dichiarazione che potrebbe funzionare per l'iniezione? Ho provato a iniettarlo da solo, ma la mia connessione è appena scaduta. Grazie.

$db = new PDO("mysql:host=$dbhost;dbname=$dbname", $dbuser, $dbpass);


$db->query("INSERT INTO Name(Name) VALUES ('$firstname')");
    
posta Josh 01.12.2015 - 20:47
fonte

1 risposta

1

No, non esistono servizi igienico-sanitari o l'escaping delle citazioni trovate nello snippet presupponendo che $firstname sia l'input fornito dall'utente. Niente mi impedisce di modificare la tua query. Questo articolo OWASP spiegherà quanto sarebbe facile e il loro esempio da vicino assomiglia a quello che stai cercando di fare.

Dovresti considerare di leggere su come utilizzare istruzioni preparate e filtering your input per indurire il tuo codice.

    
risposta data 01.12.2015 - 21:02
fonte

Leggi altre domande sui tag