PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

Главная

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

Нужен совет по созданию класса для работы с базой

Форумы портала PHP.SU » PHP » Программирование на PHP (Модераторы: valenok, OrmaJever, Саныч)

Страниц (1): [1]

Описание: Нужен совет по созданию класса для работы с базой

Поиск в теме | Версия для печати

cyberx	Отправлено: 08 Мая, 2010 - 15:44:25
Новичок Покинул форум Сообщений всего: 30 Дата рег-ции: Дек. 2009 Помог: 0 раз(а)	Решил создать класс для работы с базой, но не знаю стоит или нет его делать, или все таки лучше использовать обычный метод. Вот простенький класс PHP: скопировать код в буфер обмена class DB { function connect() { $db = new mysqli("localhost", "user", "pass", "bd"); $db->query("SET CHARSET SET utf8"); $db->query("SET NAMES 'utf8'"); $this->query = $db; return $db; } function select($select) { if ($result = $this->query->query($select)) { if($result->num_rows > 0) { $row = $result->fetch_assoc(); return $row; } else { return FALSE; } } else { return FALSE; } $result->close(); } } $DB = new DB(); $DB->connect(); $select = $DB->select("SELECT `name` FROM `users` WHERE `id`='1'"); echo $select['name']; Все работает, но опасаюсь что в функция select могу передать все что угодно, даже если фильтровать могут передать не то что мне нужно. Если сделать так то тут явно указываю что вывести PHP: скопировать код в буфер обмена $db = new mysqli("localhost", "user", "pass", "bd"); $db->query("SET CHARSET SET utf8"); $db->query("SET NAMES 'utf8'"); if ($result = $db->query("SELECT `name` FROM `users` WHERE `id`='1'")) { if($result->num_rows > 0) { $row = $result->fetch_assoc(); echo $row['name']; } else { die; } } else { die; } $result->close(); Какой метод безопасней и все таки лучше использовать?

valenok	Отправлено: 08 Мая, 2010 - 15:55:31
Здесь могла бы быть ваша реклама Покинул форум Сообщений всего: 4574 Дата рег-ции: Июль 2006 Откуда: Israel Помог: 3 раз(а)	Фильтровать нужно всегда. Варианта у тебя 2. Либо до передачи запроса оболочке(твоему классу) Либо уже в самой оболочке. Оба варианта имеют право жить. Первый вариант с фильтрацией до оболочки выглядит так: $DB->query("SELECT `a` FROM `b` WHERE `c`=".intval('d')); Второй может выглядеть так: $DB->select("SELECT `a` FROM `b` WHERE `c`=? AND `d`=?, Array ( "1' OR 1=1 ; --", "paramD" )); И твоя оболочка сама экранирует параметры перед вставкой. Второй метод хорош тем, что программисту не придется вспоминать об экранировании. Первый выглядит лучше =) ----- Truly yours, Sasha.

cyberx	Отправлено: 08 Мая, 2010 - 16:25:17
Новичок Покинул форум Сообщений всего: 30 Дата рег-ции: Дек. 2009 Помог: 0 раз(а)	Меня больше настораживает $DB->select("SELECT `name` FROM `users` WHERE `id`='1'"); В эту функцию могут же записать $DB->select("SELECT `passwd` FROM `users` WHERE `id`='1'"); Функция select выводы то что ей передают и могут передать "SELECT `passwd` FROM `users` WHERE `id`='1'" Фильтровать и тут тоже можно if (!intval($id)) { die; } $DB->select("SELECT `name` FROM `users` WHERE `id`='".$id."'");

JustUserR	Отправлено: 09 Мая, 2010 - 15:08:03
Активный участник Покинул форум Сообщений всего: 8715 Дата рег-ции: Июнь 2009 Помог: 17 раз(а)	valenok пишет: Второй метод хорош тем, что программисту не придется вспоминать об экранировании. В принципе это достаточно полезный метод который по сути является препарирование запроса Однако я бы предпочел экранировать вручную поскольку в большом PHP-скрипте со множественной обработкой данных бывает трудно за всем следить - а также препарирование усложняет динамическую генерацию SQL-запросов cyberx пишет: Фильтровать и тут тоже можно А не проще использовать функцию mysql_real_escape_string которая вдобавок ко всему экранирует символы с учетом кодировки соединени с БД и текущей локалью ----- Сделать можно все что угодно - нужно только старание, терпение и хороший поисковик Безлимитный web-хостинг от 15 рублей за 40 МБ дискового пространства - http://ihost[dot]oks71[dot]ru/

cyberx	Отправлено: 09 Мая, 2010 - 19:43:13
Новичок Покинул форум Сообщений всего: 30 Дата рег-ции: Дек. 2009 Помог: 0 раз(а)	Вот пока решил сделать таким методом, не смог это вставить в один класс. Защищает от частых запросов и кэширует PHP: скопировать код в буфер обмена if ($stmt = $DB->prepare("SELECT `id` FROM `users` WHERE `login` = ? AND `password` = ? AND `activation` = ?")) { $login = mysqli_real_escape_string($DB,$login); $passwd = mysqli_real_escape_string($DB,$passwd); $act = 1; $stmt->bind_param("ssi",$login,$passwd,$act); $stmt->execute(); $stmt->bind_result($id); $stmt->store_result(); if ($stmt->num_rows > 0) { echo $id; } else { die; } $stmt->close(); } else { die; } $DB->close();

valenok	Отправлено: 09 Мая, 2010 - 21:18:57
Здесь могла бы быть ваша реклама Покинул форум Сообщений всего: 4574 Дата рег-ции: Июль 2006 Откуда: Israel Помог: 3 раз(а)	JustUser, если ты клонишь в сторону prepared statements, то там речь скорее о производительности, нежели о внимательности программиста. ----- Truly yours, Sasha.

JustUserR	Отправлено: 10 Мая, 2010 - 01:50:02
Активный участник Покинул форум Сообщений всего: 8715 Дата рег-ции: Июнь 2009 Помог: 17 раз(а)	valenok пишет: JustUser, если ты клонишь в сторону prepared statements, то там речь скорее о производительности, нежели о внимательности программиста. Вообще да - но я предпочитают экранирование а не препарирование ----- Сделать можно все что угодно - нужно только старание, терпение и хороший поисковик Безлимитный web-хостинг от 15 рублей за 40 МБ дискового пространства - http://ihost[dot]oks71[dot]ru/

Поиск в теме | Версия для печати

Страниц (1): [1]

Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)

« Программирование на PHP »

Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.