Dal vecchio mysql_ a mysqli e PDO: come si fa davvero il porting nel 2026
Le funzioni mysql_ di PHP sono deprecate dalla 5.5 e rimosse dalla 7.0. Un'applicazione che le contiene ancora gira per forza su una versione di PHP fuori supporto da circa dieci anni: non un problema di stile, ma una falla di sicurezza che cammina. Questo articolo rifà la guida al porting con l'occhio del 2026: cosa fa un convertitore automatico e dove ti lascia scoperto, mysqli o PDO, e perché la posta in gioco non è la deprecazione ma l'SQL injection che il vecchio codice si porta dietro. Continua a leggere
Ultima modifica:
La vecchia ricetta della "classe di sicurezza" che ripulisce GET e POST all'ingresso non protegge più nulla: è un anti-pattern che dà falsa sicurezza. La doctrine corretta nel 2026 è netta: si valida l'input al confine con una logica di allowlist e si escapa l'output in base al contesto in cui finisce. Vediamo come si fa davvero, con filter_var, prepared statement, htmlspecialchars e una Content Security Policy. 
Un gestionale PHP su VPS OVH, il freelance sparito da tre mesi, credenziali perse, nessun backup del codice e il certificato SSL in scadenza tra 8 giorni. Le prime 48 ore di un subentro d'emergenza: mappatura accessi, backup immediato, rotazione credenziali e stabilizzazione prima di qualsiasi modifica.