PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

Главная

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

Нужна ли тут проверка?

Форумы портала PHP.SU » PHP » Программирование на PHP (Модераторы: valenok, OrmaJever, Саныч)

Страниц (1): [1]

Без описания

Поиск в теме | Версия для печати

LifePlay	Отправлено: 06 Февраля, 2011 - 04:20:01
Частый гость Покинул форум Сообщений всего: 135 Дата рег-ции: Авг. 2010 Откуда: Кобеляки, Украина Помог: 0 раз(а)	Вот код PHP: скопировать код в буфер обмена $query = mysql_query("SELECT * FROM `cat_banavtorip` WHERE `ip`='".$_KATALOG['ip']."' and ua='".$_KATALOG['ua']."'"); $info_bann = mysql_fetch_assoc($query); mysql_query('DELETE FROM `cat_banavtorip` WHERE `id` = "'.$info_bann['id'].'" LIMIT 1'); Надо проверять $info_bann['id'] или очищать перед вставкой в sql запрос? Прочитал где-то что верить нельзя никаким данным из вне даже из базы данных но id полюбасу будет число так как в базе данных id имеет числовое значение. Или хакер сможет подменить это значение?

Мелкий	Отправлено: 06 Февраля, 2011 - 08:58:47
Активный участник Покинул форум Сообщений всего: 11926 Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург Помог: 618 раз(а)	А в чём великий смысл двойного запроса? CODE (SQL): скопировать код в буфер обмена DELETE FROM `cat_banavtorip` WHERE `ip`='".$_KATALOG['ip']."' AND ua='".$_KATALOG['ua']."'" limit 1 Если переменные не проходят жёсткую проверку, то воткнуть mysql_real_escape_string. ----- PostgreSQL DBA

TM123	Отправлено: 06 Февраля, 2011 - 11:09:39
Новичок Покинул форум Сообщений всего: 35 Дата рег-ции: Нояб. 2010 Откуда: Москва Помог: 0 раз(а)	При выборке из базы проверять не надо, в ней не может быть ничего, что может разрушить SQL запрос, за исключением текстовых полей, в них может быть все что угодно и в таком примере как вы написали текстовые поля проверять надо. ----- Программим потихоньку http://www[dot]altycon[dot]ru

JustUserR	Отправлено: 06 Февраля, 2011 - 16:19:25
Активный участник Покинул форум Сообщений всего: 8715 Дата рег-ции: Июнь 2009 Помог: 17 раз(а)	LifePlay пишет: Надо проверять $info_bann['id'] или очищать перед вставкой в sql запрос? При осуществлении создания SQL-запросов базирующихся на основе неизменяемой конструкцуии оператора и интерполируемых информационных полей - необходимо произведение предшествующей проверки по отношению уровней трактования для включаемых объектов относитеольно разделительных элементов - в частнсоти для строковых констант необходимо проведение операции экранирование и сопоставления представления кодовой таблицы - в то время как для числовых элементов необходимо применение операции явного приведения ассоциированной строки данных в реальной число ----- Сделать можно все что угодно - нужно только старание, терпение и хороший поисковик Безлимитный web-хостинг от 15 рублей за 40 МБ дискового пространства - http://ihost[dot]oks71[dot]ru/

Поиск в теме | Версия для печати

Страниц (1): [1]

Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)

« Программирование на PHP »

Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.