Una reg exp per escludere comandi mysql

pablito

Una reg exp per escludere comandi mysql

Ciao a tutti
non ho mai trovato niente di simile in giro ma non demordo

Sto cercando di fare una reg exp per intercettare e d escludere da una query mysql i comandi insert, delete, update ecc.. che un utente malintenzionato potrebbe aggiungere alla query lasciando solo select

Voi che ne dite?

ayrton2001

@Pablito said:

Ciao a tutti
non ho mai trovato niente di simile in giro ma non demordo

Sto cercando di fare una reg exp per intercettare e d escludere da una query mysql i comandi insert, delete, update ecc.. che un utente malintenzionato potrebbe aggiungere alla query lasciando solo select

Voi che ne dite?

Ciao,
spiegati meglio, l'utente può effettuare query scrivendole lui stesso?
Se è così può effettuare query singole oppure multiple?

thedarkita

Se usi la funzione strstr per vedere se c'è prensete nella query un insert ecc...

http://php.net/strstr

pablito

@ayrton2001 said:

Ciao,
spiegati meglio, l'utente può effettuare query scrivendole lui stesso?
Se è così può effettuare query singole oppure multiple?

Stavo leggendo h t t p ://dev.mysql.com/tech-resources/articles/guide-to-php-security-ch3.pdf
guardaci anche tu nel capitolo database permission

E in generale leggete tutto il documento

Io sto semplicemente cercando di evitare guai da ciò che gli utenti mi passano nei campi <input> e che in parte andrà nelle query di ricerca delle risorse che a loro servono in quel momento
Alcune cose sono chiare mentre altre no

Vorrei rendre le ricerche esenti da pericoli

grazie a tutti se mi date una mano