Подскажите новичку.
Есть форма на сайте, php-скрипт переносит данные из формы в базу
Для переноса использую стандартно INSERT(бла-бла-бла)
Вопрос по правильности данного запроса из скрипта. Как более безопасно и правильно организовывать данные обращения к базе?
1. kapUstin - 24 Февраля, 2014 - 13:46:23 - перейти к сообщению
2. Nikolai12 - 24 Февраля, 2014 - 14:09:43 - перейти к сообщению
Если параметры, которые вставляются в SQL-запрос не обрабатываются, может быть инъекция.
Для сток нужно использовать функцию mysql_real_escape_string() и в SQL запросе заключать их в кавычки("INSERT INTO table SET param1=\"{$param1}\", param2=\"{$param2}\""), а числа нужно приводить к числовому типу.
Можно почитать здесь: http://phpfaq[dot]ru/slashes
Для сток нужно использовать функцию mysql_real_escape_string() и в SQL запросе заключать их в кавычки("INSERT INTO table SET param1=\"{$param1}\", param2=\"{$param2}\""), а числа нужно приводить к числовому типу.
Можно почитать здесь: http://phpfaq[dot]ru/slashes
3. kapUstin - 24 Февраля, 2014 - 20:31:14 - перейти к сообщению
с проверкой и обработкой входящих данных все понятно... но вот само по себе правильно или нет такое написание скрипта или может надо использовать какие то доп библиотеки ado и прочее?
(Добавление)
нашел интересную штуку, плейсхолдеры...
(Добавление)
нашел интересную штуку, плейсхолдеры...
4. esterio - 24 Февраля, 2014 - 21:13:28 - перейти к сообщению
плейсхолдеры если не используют подготовленные запросси не гарантируют защиту. Например всякого рода библиотекы старых зразков