:confused:

addslashes
htmlspecialchars
htmlentities
mysql_real_escape_string
urlencode
mysqli_prepare

:mbe: ...................................................... :stordita: :fagiano:

addslashes: http://php.net/manual/en/function.addslashes.php

htmlspecialchars serve a sostituire i caratteri speciali (non so se si chiamano proprio così) in entità html, quindi ad esempio & verrà sostituito con &amp; e < con &lt;
E' molto utile per evitare gli attacchi xss: Prima di stampare i dati presi dal database o passati tramite post o get gli dai una passata con htmlentities.

addslashes: http://php.net/manual/en/function.addslashes.php

OK, e sta famosa get_magic_quotes_gpc() ormai è dreprecata?

Non mi sembra (da quanto leggo nella documentazione), ti conviene fare sempre il controllo

http://www.php.net/manual/en/mysqli.prepare.php

http://www.php.net/manual/en/mysqli.prepare.php

MySqlI non presuppone che utilizzi mysqlI?
CMQ studio anche quello, 1 altro utene sul foru postò:
PHP Security Guide (http://phpsec.org/projects/guide/)

MySqlI non presuppone che utilizzi mysqlI?
Si, perché?
È soltanto un modulo di PHP diverso, il database d'appoggio è sempre MySQL.

Si, perché?
È soltanto un modulo di PHP diverso, il database d'appoggio è sempre MySQL.
Ah ok, tutto pienamente compatibile?

Si, perché?
È soltanto un modulo di PHP diverso, il database d'appoggio è sempre MySQL.
Ah ok, tutto pienamente compatibile?

Si, perché?
È soltanto un modulo di PHP diverso, il database d'appoggio è sempre MySQL.
Ah ok, tutto pienamente compatibile?

OK, e sta famosa get_magic_quotes_gpc() ormai è dreprecata?

Si può disattivare dal PHP.ini, solo in PHP6 verrà tolta (così si dice).
Io uso una mia funzione che elimina determinati caratteri (in sequenza) ed esegue l'escape finale con addslashes.

Ah ok, tutto pienamente compatibile?
Si, ed è la soluzione più corretta.

?

htmlspecialchars
htmlentities
mysql_real_escape_string
urlencode


Quindi basta la sola mysqli_prepare? Stop? Nessuna di queste altre?
Non funzionasse sugli Host tipo Aruba/Netsons sarebbe perchè non hanno caricato il modulo?
Oppure non c'è possibilità che non funzioni? Dove c'è PHP5 c'è questo set di funzioni?

Ho visto che c'è sia OO che procedurale, dato che restituisce la stessa cosa "mysqli_stmt" posso usare nella mia procedura anche quella ad oggetti o è meglio non mischiare?

Object oriented style
mysqli_stmt mysqli::prepare ( string $query )

Procedural style
mysqli_stmt mysqli_prepare ( mysqli $link , string $query )


Noto:
$link = mysqli_connect("localhost", "my_user", "my_password", "world");
devo cambiare tutte le varie aperture/chiusure con le nuove mysqli_X?

Piccolo :ot:
voi per caso utilizzate anche
mysql_free_result($result);
oppure a fine script c'è auto dispose del fetch?

UP!
Questo lo chiudiamo con la soluzione: "mysqli_prepare"?

UP!
Questo lo chiudiamo con la soluzione: "mysqli_prepare"?

Mi permetto di fare il pignolo e precisare che la soluzione non è "mysqli_prepare", ma l'utilizzo dei Prepared Statements (supportati appunto solo dalla libreria MySQLi). La funzione mysqli_prepare è solo il primo passo per ottenere un resultset da uno statement.
La cosa interessante è che viene fatto automaticamente dal sistema l'escaping dei valori assegnati ai parametri dello statement.

Attenzione che però la libreria MySQLi non è supportata da tutti gli hosting, soprattutto quelli gratuiti, quindi informarsi bene prima di utilizzarla.

http://www.php.net/manual/en/mysqli.prepare.php
Rieccomi rientrato da vacanze e tour in London per vedre se migrare :) spero vi siate riposati a che voi! [chiuso :ot:]
Effettivamente vedo che ritorna un mysqli statemant

mysqli_stmt mysqli_prepare ( mysqli $link , string $query )

, quindi non un testo normale che posso inserire, ma qualcosa a usare con altri mysqli:qualcosa? :confused:

Rieccomi rientrato da vacanze e tour in London per vedre se migrare :) spero vi siate riposati a che voi! [chiuso :ot:]
Effettivamente vedo che ritorna un mysqli statemant

, quindi non un testo normale che posso inserire, ma qualcosa a usare con altri mysqli:qualcosa? :confused:

Eh si, intuitivamente direi di si leggendo la spiegazione del prepare
Procedural style only: A link identifier returned by mysqli_connect() or mysqli_init()
, devo passare i mysql_ a mysqli_

Sto iniziando col cambiare il tipico

//Stringa di connessione
$connessione=@mysql_connect($server, $utente, $password) or die(errore());
//selezione del database
$db=mysql_select_db($database, $connessione) or die(errore());

con

//Stringa di connessione e selezione del database
$link = @mysqli_connect($server, $utente, $password, $database);
/* check connection */
if (!$link) {
die('Connect Error: ' . mysqli_connect_error() . ' ' . mysqli_connect_errno());
}

Ma nell'esempio del manuale online qui sotto riportato

$city = "Amersfoort";
$link = mysqli_connect("localhost", "my_user", "my_password", "world");

/* create a prepared statement */
if ($stmt = mysqli_prepare($link, "SELECT District FROM City WHERE Name=?")) {

/* bind parameters for markers */
mysqli_stmt_bind_param($stmt, "s", $city);

/* execute query */
mysqli_stmt_execute($stmt);

/* bind result variables */
mysqli_stmt_bind_result($stmt, $district);

/* fetch value */
mysqli_stmt_fetch($stmt);

printf("%s is in district %s\n", $city, $district);

/* close statement */
mysqli_stmt_close($stmt);
}

, a che servono i due "bind"
/* bind parameters for markers */
mysqli_stmt_bind_param($stmt, "s", $city);
e

/* bind result variables */
mysqli_stmt_bind_result($stmt, $district);

, sono obbligatori altrimenti exec e fetch non funzionano?

Ok funziona. Ma in questo modo non devo fare l'escape di nient'altro? Only mysqli statement and stop?


<?php
include("connetti.php");
$titolo = strtoupper($titolo);
$datatime = date('Y-m-d H:i:s');
$query = "INSERT INTO privato (u_modifica, titolo, testo) VALUES (?, ?, ?)";
if ($stmt = mysqli_prepare($link, $query))
{
mysqli_stmt_bind_param($stmt, 'sss', $datatime, $titolo, $testo);
print("<font color=\"green\">Elemento:<br />$titolo<br />inserito correttamente.</font><br />");
mysqli_stmt_execute($stmt);
}
else{ die(errore()); }
include("disconnetti.php");
print("<meta http-equiv=\"Refresh\" content=\"5; url=http://$HTTP_HOST/ciccio/pasticcio.php\" />");
?>

Il risultato su una stringa così:
PROVA "CIAO" voglio un po' <
è
PROVA \"CIAO\" voglio un po\' <
peccato che ora quando ne faccio il fetch in questo formato fa schifo, coe la ritrasformereste leggibile?

http://www.php.net/manual/en/function.stripslashes.php

http://www.php.net/manual/en/function.stripslashes.php

Fatto funziona, sanza utilizzare altro che gli mysqli statemant e stripslash s'ottiene:
PROVA &quot;CIAO&quot; voglio un po' &lt;
optimus!;)

Io sono abituato ad usare mysql_real_escape_string($stringa) (http://php.net/manual/en/function.mysql-real-escape-string.php).

E' fatto apposta per l'escaping delle query ed è immediato.

Io sono abituato ad usare mysql_real_escape_string($stringa) (http://php.net/manual/en/function.mysql-real-escape-string.php).

E' fatto apposta per l'escaping delle query ed è immediato.

... e adesso leggendo della libreria mysqli continuerai a usare la escape_string?
Trovi che faccia qualcosa che queste librerie non facciano? O per abitudine?
Non sto prendendo in giro, sto solo chiedendo sia chiaro. ;)

[PHP - mySQL] Richiesta guide prevenzione hackeraggi (http://www.hwupgrade.it/forum/showthread.php?t=2218045)