Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737 Форумы портала PHP.SU :: Нужна ли тут проверка?
mysql_query('DELETE FROM `cat_banavtorip` WHERE `id` = "'.$info_bann['id'].'" LIMIT 1');
Надо проверять $info_bann['id'] или очищать перед вставкой в sql запрос?
Прочитал где-то что верить нельзя никаким данным из вне даже из базы данных но id полюбасу будет число так как в базе данных id имеет числовое значение. Или хакер сможет подменить это значение?
Мелкий
Отправлено: 06 Февраля, 2011 - 08:58:47
Активный участник
Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург
Если переменные не проходят жёсткую проверку, то воткнуть mysql_real_escape_string.
----- PostgreSQL DBA
TM123
Отправлено: 06 Февраля, 2011 - 11:09:39
Новичок
Покинул форум
Сообщений всего: 35
Дата рег-ции: Нояб. 2010 Откуда: Москва
Помог: 0 раз(а)
При выборке из базы проверять не надо, в ней не может быть ничего, что может разрушить SQL запрос, за исключением текстовых полей, в них может быть все что угодно и в таком примере как вы написали текстовые поля проверять надо.
Покинул форум
Сообщений всего: 8715
Дата рег-ции: Июнь 2009
Помог: 17 раз(а)
LifePlay пишет:
Надо проверять $info_bann['id'] или очищать перед вставкой в sql запрос?
При осуществлении создания SQL-запросов базирующихся на основе неизменяемой конструкцуии оператора и интерполируемых информационных полей - необходимо произведение предшествующей проверки по отношению уровней трактования для включаемых объектов относитеольно разделительных элементов - в частнсоти для строковых констант необходимо проведение операции экранирование и сопоставления представления кодовой таблицы - в то время как для числовых элементов необходимо применение операции явного приведения ассоциированной строки данных в реальной число
----- Сделать можно все что угодно - нужно только старание, терпение и хороший поисковик
Безлимитный web-хостинг от 15 рублей за 40 МБ дискового пространства - http://ihost[dot]oks71[dot]ru/
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.