PHP kódomról vélemény? Jó így használni, ha nem akkor hogy?

Amit előző írt,az a múlté.

PDO MySQL-t kezd inkább tanulmányozni.

Nem igazán jó főleg nekem a második részével if(isset($_GET[product])) {

$query = "select * from product where id=$_GET[product]";

}

el van bajom. Ez a kód teljesen alkalmas az úgynevezett sql injekciós támadásra. Mivel nem ellenörződ a $_GET['product'] változó értékét ezért megcsinálhatja egy külső támadó a következő nagyon csúnya utasítást,ha a $_GET['product']-nak megadja a következő

3;drop table product. Mivel a sql értelmező ezt fogja végrehajtani, így gyak törölte a tábládat. De pl. meglepetést okozhat ha valahogy kitalálja a userek adatait tartalmazó táblát és valahogy kiíratja az admin jelszót, persze csak annak hashét, ha te azt használtad.

Éppen ezért, én a következőt tenném, és nem utolsó sorban $_Post-os paraméterátadást kellene használni:

Nem a legszebb megoldás de legalább azt megnézném, hogy numerikus-es az id. Illetve egy mysql_real_escape_stringet is végrehajtanék.

Azaz

if(isset($_POST['product'] && is_numeric($_POST['product'])

{

$id=$_POST['product'];

$query = sprintf("SELECT * FROM product WHERE id='%s');

mysql_real_escape_string($id);

}

A numerikus ellenörzés után azért használom, a mysql_real_escape_string-et, mert könnyen meg lehet adni 16-os számrendszerben is a megfelelő karakterek kódját és ekkor az isnumeric be van "csapva". Persze ne felejtsd el végrehajtani a $query-t sem.