Форумы портала PHP.SU » » Работа с СУБД » Защита от SQL инъекций в PDO

Страниц (1): [1]
 

1. koka - 18 Июля, 2011 - 10:27:23 - перейти к сообщению
Здравствуйте!!! Решил переделать все запросы на моем сайте в PDO.

Подскажите, как правильно надо составить запрос

CODE (SQL):
скопировать код в буфер обмена
  1. SELECT *
  2.  
  3.             FROM `table`
  4.  
  5.             WHERE `marka`='{$_GET['marka']}'


Видел такой пример для INSERT

PHP:
скопировать код в буфер обмена
  1.   $DBH = new PDO("mysql:host=$host;dbname=$dbname", $user, $pass);  
  2.   $DBH->setAttribute( PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION );
  3.   $STH = $DBH->("INSERT INTO folks (name, addr, city) value (:name, :addr, :city)");
  4. $data = array( 'name' => 'Мишель', 'addr' => 'переулок Кузнечный', 'city' => 'Cnjkbwf' );
  5.   $STH->execute($data);  
  6.  


Сразу несколько вопросов - если вместо массива $data я буду использовать $_POST без предварительной обработки, будет ли это безопасно??? Можно ли указать таким же способом переменные в запросе типа select??? И как вообще правильно составить запрос, который я написал в самом начале???
2. neatek - 18 Июля, 2011 - 10:40:22 - перейти к сообщению
Нормально ты написал запрос, только * не используй, лучше перечисли столбцы которые тебе нужны, если все, то все перечисли, на хабрахабре читал...

{$_GET['marka']} - я считаю, что в запросе лучше не указывать GET и POST. Мало ли туда чего можно запихать, лучше проверяй, то что тебе нужно, количество символов, содержащие символы и.т.д.

И вот еще, `marka`='{$_GET['marka']}' - скобки мне кажется собьются.

Лишняя проверка никогда не помешает, лично мое мнение.

Я не особо много чего знаю про PHP, по лучше проверки делать, все что вводит пользователь. В любые формы, GET запросы... и не выводить их на сайт без проверки.

Насчет $data вообще не врубился)
3. koka - 18 Июля, 2011 - 11:06:57 - перейти к сообщению
neatek, я не синтаксис запроса имел в виду. Меня интересуют, как правильно подготовить этот запрос с помощью PDO. Я так понял, что обработанный запрос поможет защитить от SQl инъекций, поэтому интересуюсь, как правильно передать в запрос $_GET['marka']

 

Powered by ExBB FM 1.0 RC1