Каким образом здесь можно создать полбзовательский фильтр?
teddy пишет:
а лучше препарированные запросы и нафиг эскейп стринги
Я же чужую программу ставлю! Не я запросы придумывал. Насчет килограмма кода согласен, достаточно одного самого жесткого фильтра, остальное в соответствии с программой. (Добавление)
teddy пишет:
И да... если пишем в базу, то в array_map добавите ещё real escape string
Для этого соединение с базой уже должно существовать? (Добавление)
teddy пишет:
а лучше препарированные запросы и нафиг эскейп стринги
Параметры подготовленного запроса не требуется экранировать кавычками; драйвер это делает автоматически. Если в приложении используются исключительно подготовленные запросы, разработчик может быть уверен, что никаких SQL инъекций случиться не может (однако, если другие части текста запроса записаны с неэкранированными символами, SQL инъекции все же возможны; здесь речь идет именно о параметрах).
При использовании приложений полученных из интернета, возникает возможность дыры в безопасности. Вдруг программа не проверила введенные пользователем данные? Решил в начале загрузки проверять весь пользовательский ввод
Аналогично обрабатывается post, cooke и session. Это лишь базовая проверка, пытающаяся "заткнуть" возможную дырку. Тип поля по умолчанию подойдет для логинов, паролей, других полей анкетирования. Остальные типы описаны в коде. Что я пропусти (типы полей, проверка)? Пожалуй нужно еще тип для email. Как лучше проверить?
А я думал, это личный выбор. Мне, например, он понадобился, чтобы с гугловской рекламмой разобраться. Клики идут, а он Гугл не отображает.
Что касается счетчиков поисковиков, вешать их придется и не один. Иначе хорошей отдачи от них не дождаться. На основании этих данных они и строят рейтинги. По крайней мере, после установки счетчика mail пошли и посетители с него. До этого не было. (Добавление)
GEN_18 пишет:
Но если все записывать последовательно
А на сколько подробные логи нужны? Может достаточно идентифицировать пользователя, помечать его приход в эти сутки, количество посетителей +1 и внутренние переходы, не зависимо от пользователя +1. Если нужна статистика кликов - аналогично посещениям.
С целью ограничения доступа, спрятал массив переменных в тело функции. Краем уха подслушал, что в PHP 5.3 введено управление областями видимости переменных. Не был ли мой труд тщетным? Не смогут ли пользовательские скрипты получать прямой доступ к массиву, если я в теле функции не создавал явной области видимости? И есть ли возможность это дело запретить?
nawatar drv. В архиве файлы: /programs/user-rw, /nawatar/drv/mail/majler.drv.php, /nawatar/drv/userf/userf.php.
Думаю, выдернуть нужный код не составит труда?
никакое ООп не помешает скрипту вызвать mysql_query и обратится к БД
Я тоже так считаю
была мысль: в самой программе удалить код подключения к БД. Перед передачей ей управления выполнить mysqlc_db_connect() (см. в начале), по возврату - mysqlc_db_close(). Это бы свело к минимуму изменения в самой программе. Но если одна БД на сайт, нужно контролировать в какую таблицу лезет скрипт, а менять все mysqlc_query() на mysqlc_query_db - это уже мутатень. (Добавление)
Может парсер PHP какой существует? Чтобы скрипты ставить не копированием, а через инсталятор. Заотно и include() заменить.
Имеется ввиду что ваш скрипт будет использоваться как библиотека?
Да.
DelphinPRO пишет:
Всегда можно самому поключится, зная параметры доступа
Сторонние скрипты не смогут получить параметров подключения
DeepVarvar пишет:
Инкапсуляцией
и
DelphinPRO пишет:
Запретить доступ к текущему подлючению, вероятно можно, реализовав синглтон
Здесь можно чуть подробнее. Хотя бы - куда копать? (Добавление) DeepVarvar
У меня уже возникала неприятная ситуация из-за отсутствия отображения значка модератора в IE8 (на заметку)
Еще не реализовал, но функции setsys() и getsys() будут запрещать доступ приложений к массиву, соответственно, сторонние скрипты не смогут получить параметры подключения. Но они смогут обращаться напрямую к активной БД.
Возможно ли запретить им такое действие? Или, как иначе можно скрыть от них подключение к БД?
[quote=caballero]Так не лезь в мои темы! Или у вас больше активность создавать некому?
caballero пишет:
Гораздо вероятнее встретить например Doctrine
Из документации: "Доктрина всегда добовляет первичный ключ "ID" к таблицам..."
Насколько я понял, Doctrine не сможет работать с уже существующими ьазами?
Предоставляет ли ADODB универсальные средства работы с базами данных? Другими словами, если приложение использует, к примеру, MSSQL я смогу без изменений скриптов перенести его на MySQL?
Используют ли популярные фреймворки и CMS ADODB синтаксис? Или для использования приложения, его использующего, необходимо устанавливать и ADO?
Оправдано ли использование ADODB в проекте с точки зрения унификации приложений, устанавливаемых в будущем. Другими словами, найдется ли достаточное количество программ, распространяемых как отдельно, так и для работы в составе других CMS, использующих его.
Как вы относитесь к стилю программирования в ADODB. Автор использует классы ООП и отказался от создания самих объектов. При этом автор adodb и многие другие программисты отмечают, что именно такой подход к ООП позволяет ЗНАЧИТЕЛЬНО увеличить производительность.