• User

    Una reg exp per escludere comandi mysql

    Ciao a tutti
    non ho mai trovato niente di simile in giro ma non demordo

    Sto cercando di fare una reg exp per intercettare e d escludere da una query mysql i comandi insert, delete, update ecc.. che un utente malintenzionato potrebbe aggiungere alla query lasciando solo select

    Voi che ne dite?


  • Super User

    @Pablito said:

    Ciao a tutti
    non ho mai trovato niente di simile in giro ma non demordo

    Sto cercando di fare una reg exp per intercettare e d escludere da una query mysql i comandi insert, delete, update ecc.. che un utente malintenzionato potrebbe aggiungere alla query lasciando solo select

    Voi che ne dite?

    Ciao,
    spiegati meglio, l'utente può effettuare query scrivendole lui stesso?
    Se è così può effettuare query singole oppure multiple?


  • ModSenior

    Se usi la funzione strstr per vedere se c'è prensete nella query un insert ecc...

    http://php.net/strstr


  • User

    @ayrton2001 said:

    Ciao,
    spiegati meglio, l'utente può effettuare query scrivendole lui stesso?
    Se è così può effettuare query singole oppure multiple?

    Stavo leggendo h t t p ://dev.mysql.com/tech-resources/articles/guide-to-php-security-ch3.pdf
    guardaci anche tu nel capitolo database permission

    E in generale leggete tutto il documento

    Io sto semplicemente cercando di evitare guai da ciò che gli utenti mi passano nei campi <input> e che in parte andrà nelle query di ricerca delle risorse che a loro servono in quel momento
    Alcune cose sono chiare mentre altre no

    Vorrei rendre le ricerche esenti da pericoli

    grazie a tutti se mi date una mano