mikiprogrammer (Normal User)
Pro
Messaggi: 65
Iscritto: 02/04/2015
|
Buongiorno,
nella tabella chat ho bisogno di inserire, nei campi from, to, messaggio i dati $_SESSION['login_effettuato'] $_GET['nome'] $_GET['messaggio']
Qualcuno mi procura la query?
|
|
nessuno (Normal User)
Guru^2
Messaggi: 6381
Iscritto: 03/01/2010
|
Ma dato che hai tutte le conoscenze che hai inserito nella firma, come mai chiedi la pappa pronta??
Ricorda che nessuno è obbligato a risponderti e che nessuno è perfetto ...
---
Il grande studioso italiano Bruno de Finetti (uno dei padri fondatori del moderno Calcolo delle probabilità) chiamava il gioco del Lotto Tassa sulla stupidità. |
|
mikiprogrammer (Normal User)
Pro
Messaggi: 65
Iscritto: 02/04/2015
|
Perchè:
1) Con il PHP ho appena iniziato
2) Avevo già provato un query ma non funziona, quindi volevo chiedere se qualcuno me ne poteva suggerire una
|
|
nessuno (Normal User)
Guru^2
Messaggi: 6381
Iscritto: 03/01/2010
|
1 ) allora togli PHP dalla firma
2 ) mostra cosa avevi scritto
Ricorda che nessuno è obbligato a risponderti e che nessuno è perfetto ...
---
Il grande studioso italiano Bruno de Finetti (uno dei padri fondatori del moderno Calcolo delle probabilità) chiamava il gioco del Lotto Tassa sulla stupidità. |
|
TheDarkJuster (Member)
Guru^2
Messaggi: 1620
Iscritto: 27/09/2013
|
Perchè non hai letto la documentazione ufficiale del tuo rdbms?
|
|
mikiprogrammer (Normal User)
Pro
Messaggi: 65
Iscritto: 02/04/2015
|
La query che avevo scritto era:
Codice sorgente - presumibilmente Plain Text |
INSERT INTO chat (from, destinatario, messaggio)
VALUES ('$_SESSION[login_effettuato]', '$nome', '$_GET[messaggio]')
|
|
|
TheDarkJuster (Member)
Guru^2
Messaggi: 1620
Iscritto: 27/09/2013
|
Se anche tu riuscissi a far funzionare quella query (il problema sta nel fatto che i campi di testo si delimitano con " in mysql, non ' ) avresti un risultato molto, molto scadente e completamente insicuro, visto che sarebbe vulterabile ad sqlinjection e che molto probabilmente mostri l'errore.
Se vuoi un consiglio..... usa PDO o un ORM.
|
|
Roby94 (Member)
Guru
Messaggi: 1170
Iscritto: 28/12/2009
|
Postato originariamente da TheDarkJuster:
il problema sta nel fatto che i campi di testo si delimitano con " in mysql, non ' |
Non sono assolutamente sicuro di questa affermazione, perfino w3cS propone le query SQL con gli apici singoli. Per quanto riguarda la sicurezza non ci sono dubbi che quella query sia completamente inadatta.
https://it.wikipedia.org/wiki/SQL_injection
Con una rapida ricerca puoi trovare subito delle tecniche per proteggerti da questo genere di attacco. |
|
mikiprogrammer (Normal User)
Pro
Messaggi: 65
Iscritto: 02/04/2015
|
Ho capito che non è sicuro, infatti prima i dati li "tratto".
In ogni caso nessuno ha risposto: COME LA FACCIO FUNZIONARE???
|
|