¿Este script PHP es seguro? [cerrado]

0

Estoy tratando de crear un sitio web seguro. ¿Alguien puede avisarme si esto es susceptible a la inyección de SQL? Si es así, ¿podría proporcionarme un ejemplo de una declaración que funcionaría para inyección? He intentado inyectarme yo mismo, pero mi conexión se acaba. Gracias.

$db = new PDO("mysql:host=$dbhost;dbname=$dbname", $dbuser, $dbpass);


$db->query("INSERT INTO Name(Name) VALUES ('$firstname')");
    
pregunta Josh 01.12.2015 - 20:47
fuente

1 respuesta

1

No, no hay salubridad ni escape de las citas en su fragmento, suponiendo que $firstname sea una entrada proporcionada por el usuario. Nada me impide modificar tu consulta. Este OWASP article explicará lo fácil que sería y su ejemplo en detalle. se parece a lo que estás tratando de hacer.

Debería considerar leer sobre cómo usar declaraciones preparadas y filtrando su entrada para fortalecer su código.

    
respondido por el Bacon Brad 01.12.2015 - 21:02
fuente

Lea otras preguntas en las etiquetas