Estoy tratando de crear un sitio web seguro. ¿Alguien puede avisarme si esto es susceptible a la inyección de SQL? Si es así, ¿podría proporcionarme un ejemplo de una declaración que funcionaría para inyección? He intentado inyectarme yo mismo, pero mi conexión se acaba. Gracias.
$db = new PDO("mysql:host=$dbhost;dbname=$dbname", $dbuser, $dbpass);
$db->query("INSERT INTO Name(Name) VALUES ('$firstname')");
No, no hay salubridad ni escape de las citas en su fragmento, suponiendo que $firstname sea una entrada proporcionada por el usuario. Nada me impide modificar tu consulta. Este OWASP article explicará lo fácil que sería y su ejemplo en detalle. se parece a lo que estás tratando de hacer.
Debería considerar leer sobre cómo usar declaraciones preparadas y filtrando su entrada para fortalecer su código.
Lea otras preguntas en las etiquetas sql-injection php