<![CDATA[Quali caratteri sono dannosi per mysql in input da un form html?]]>Ciao ragazzi 🙂

sapete per caso quali sono i caratteri dannosi che dovrei filtrare dall'input di un form html?
Per esempio questi 2 caratteri \ / sono dannosi?
Possono essere sfruttati in qualche modo da un malintenzionato?

Aspetto vostre risposte e consigli :gthi:

]]>https://connect.gt/topic/136740/quali-caratteri-sono-dannosi-per-mysql-in-input-da-un-form-htmlRSS for NodeFri, 17 Apr 2026 19:15:07 GMTThu, 14 Oct 2010 16:40:49 GMT60<![CDATA[Reply to Quali caratteri sono dannosi per mysql in input da un form html? on Fri, 22 Oct 2010 23:26:43 GMT]]>Comunque pensando a qualcosa di rapido potresti fare:

[php]if($var!=mysql_real_escape_string($var)) echo "Immessi dati non validi";[/php]

E' da verificare perché a quest'ora ho scritto la prima cosa che mi veniva in mente e potrebbe avere dei comportamenti che non ho considerato.
Comunque sono d'accordo con Thedarkita ed eviterei questa strada. Oltretutto è più elegante ritornare comunque dei risultati, eliminando o correggendo semplicemente i caratteri sgraditi.

]]>https://connect.gt/post/940680https://connect.gt/post/940680Fri, 22 Oct 2010 23:26:43 GMT<![CDATA[Reply to Quali caratteri sono dannosi per mysql in input da un form html? on Thu, 14 Oct 2010 19:47:07 GMT]]>Non sarebbe più corretto renderli innocui, per esempio se io voglio cercare in un forum una discussione avente nome paperon de' paperoni, il carattere ' potrebbe essere dannoso ma perchè non dovrei poter effettuare questa ricerca?
Ovviamente tutto dipende a seconda dell'uso che se ne fà, ma di norma la strada da te scelta non viene mai presa.

]]>https://connect.gt/post/940671https://connect.gt/post/940671Thu, 14 Oct 2010 19:47:07 GMT<![CDATA[Reply to Quali caratteri sono dannosi per mysql in input da un form html? on Thu, 14 Oct 2010 19:38:33 GMT]]>Nel mio caso devo ritornare un messaggio di errore nel caso in cui l'utente inserisce i caratteri dannosi.
Sapresti indicarmi una funzione che cerca il carattere dentro la variabile?
Ho provato con diverse funzioni ma alcune si "inceppano" quando trovando l'apice... :mmm:

]]>https://connect.gt/post/940679https://connect.gt/post/940679Thu, 14 Oct 2010 19:38:33 GMT<![CDATA[Reply to Quali caratteri sono dannosi per mysql in input da un form html? on Thu, 14 Oct 2010 19:17:39 GMT]]>Ciao Protone86,

dipende dalla query, per una query semplice del tipo:

SELECT * FROM tabella WHERE campo = '$stringa'
```È sufficiente fare mysql_real_escape_string.
Se è una query di ricerca ci sono altri caratteri come il % e il _ che con mysql_real_escape_string non vengono rimossi, per cui biosgna fare controllli di tipo differente.
Se ti aspetti di ricevere una variabile di tipo int, verificare prima con php se è di tipo numerico ed evitare di fare una query errata ti fa anche risparmiare risorse del server evitando di controllare inutilmente tutta la tabella oltre che a essere praticamente sicurissima.
Il carattere \ permette di manomettere le query, con la funzione mysql_real_escape_string risolvi il problema.
]]>https://connect.gt/post/940670https://connect.gt/post/940670Thu, 14 Oct 2010 19:17:39 GMT<![CDATA[Reply to Quali caratteri sono dannosi per mysql in input da un form html? on Thu, 14 Oct 2010 19:15:04 GMT]]>Di nulla... 🙂
Alla prossima.

]]>https://connect.gt/post/940657https://connect.gt/post/940657Thu, 14 Oct 2010 19:15:04 GMT<![CDATA[Reply to Quali caratteri sono dannosi per mysql in input da un form html? on Thu, 14 Oct 2010 19:10:03 GMT]]>ok grazie 😉

]]>https://connect.gt/post/940678https://connect.gt/post/940678Thu, 14 Oct 2010 19:10:03 GMT<![CDATA[Reply to Quali caratteri sono dannosi per mysql in input da un form html? on Thu, 14 Oct 2010 18:44:21 GMT]]>Dunque ho trovato queste discussioni.

http://www.giorgiotave.it/forum/php-mysql/150679-aiuto-come-proteggersi-da-sql-innection.html#post804814

http://www.giorgiotave.it/forum/php-mysql/85417-evitare-sql-injection-e-simili.html#post524427

Purtroppo le conosco solo di fama quindi dobbiamo aspettare pareri da esperti PHP e di sicurezza.

Saluti.

]]>https://connect.gt/post/940656https://connect.gt/post/940656Thu, 14 Oct 2010 18:44:21 GMT<![CDATA[Reply to Quali caratteri sono dannosi per mysql in input da un form html? on Thu, 14 Oct 2010 18:22:12 GMT]]>Si, comunque mi riferivo all'injection.
Quindi? Pensi che quei 2 caratteri possano essere dannosi o no?
In ogni caso quali possono essere i caratteri dannosi?

]]>https://connect.gt/post/940677https://connect.gt/post/940677Thu, 14 Oct 2010 18:22:12 GMT<![CDATA[Reply to Quali caratteri sono dannosi per mysql in input da un form html? on Thu, 14 Oct 2010 18:08:10 GMT]]>Eh eh troppo bello.... "Penso mi riferissi" eh eh... 😛

Per inserimento intendo, inserire in database nome, cognome.

Mentre per le injection intendo quelle procedure maligne usate per danneggiare un sito.

]]>https://connect.gt/post/940655https://connect.gt/post/940655Thu, 14 Oct 2010 18:08:10 GMT<![CDATA[Reply to Quali caratteri sono dannosi per mysql in input da un form html? on Thu, 14 Oct 2010 18:01:33 GMT]]>@marcocarrieri said:

Cosa intendi per dannoso?
Per un inserimento in database?
Per una SQL-injection?

Per "inserimento" cosa intendi?
Cmq penso mi riferissi al SQL-injection... :quote:

]]>https://connect.gt/post/940676https://connect.gt/post/940676Thu, 14 Oct 2010 18:01:33 GMT<![CDATA[Reply to Quali caratteri sono dannosi per mysql in input da un form html? on Thu, 14 Oct 2010 17:58:18 GMT]]>Cosa intendi per dannoso?
Per un inserimento in database?
Per una SQL-injection?

]]>https://connect.gt/post/940654https://connect.gt/post/940654Thu, 14 Oct 2010 17:58:18 GMT