Cum implementez/gandesc asta?

[Federals]

Damn, am si uitat, sunt obisnuit cu comenzile parametrizate din MS SQL, nu am treaba cu SQL injection acolo

[Dever]

Federals, sper ca ai filtrat variabila superglobala $_GET inainte sa faci query-ul . Nu cred ca vrei sa te trezesti intr-o zi cu baza de date goala .

Deci asa :
$blabla = $_GET['nr_pag']; // vulnerabila la SQL Injection

Eu folosesc mysql_escape_string();
$blabla = mysql_escape_string($_GET['nr_pag'];

resahc , codul tau este vulnerabil.

O alta varianta in cazul asta (nr_pag este un numar) ar fi intval($_GET['nr_pag']).

Strings will most likely return 0 although this depends on the leftmost characters of the string.

[resahc]

Federals, sper ca ai filtrat variabila superglobala $_GET inainte sa faci query-ul . Nu cred ca vrei sa te trezesti intr-o zi cu baza de date goala .

Deci asa :
$blabla = $_GET['nr_pag']; // vulnerabila la SQL Injection

Eu folosesc mysql_escape_string();
$blabla = mysql_escape_string($_GET['nr_pag'];

resahc , codul tau este vulnerabil.

nu vad cum ai putea injecta ceva (avand in vedere ca $nr_pagina e folosit imediat dupa in formula lui $from)
imi poti da un exemplu, te rog?