PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

Главная

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

непонятная цитата из мануала.

Форумы портала PHP.SU » PHP » SQL и Архитектура БД (Модератор: SAD)

Страниц (1): [1]

Описание: SQL-инъекции

Поиск в теме | Версия для печати

dadli	Отправлено: 04 Января, 2012 - 16:16:33
Посетитель Покинул форум Сообщений всего: 416 Дата рег-ции: Май 2011 Откуда: тифилис Помог: 5 раз(а)	здраствуите, читаю здес http://www.php.net/manual/ru/sec...ql-injection.php и не могу понимать что азначает ети слова: Цитата: Следует помнить, что одного использования кавычек в запросе мало, это легко обойти. (ето последная предложение в параграфе, котори стоит внизу "Пример #5.....") много раз читаль, но суть ни ка не понял, что значить "одного использования кавычек в запросе мало"? может подскажите о чём там написано? (Отредактировано автором: 04 Января, 2012 - 16:36:37)

Самогонщик	Отправлено: 04 Января, 2012 - 16:40:02
Посетитель Покинул форум Сообщений всего: 495 Дата рег-ции: Окт. 2011 Помог: 8 раз(а)	Это означаем, что мало брать пришедшую строку в кавычки Потому как можно сделать так: (ololo' какое нибудь содержимое 'ololo)

dadli	Отправлено: 04 Января, 2012 - 17:18:38
Посетитель Покинул форум Сообщений всего: 416 Дата рег-ции: Май 2011 Откуда: тифилис Помог: 5 раз(а)	Самогонщик извиняюс за глупост но еше не понял: под словам "мало" подразумевается "не достаточно" да? пожалуиста скажите на етом примере SELECT id FROM mytable WHERE name = 'jimmy' что здес мало? исползуем ковички один раз. чего же здес не достаточного ? чувствую что, кео-что очен примитивного не понимаю, но... не понимаю (Отредактировано автором: 04 Января, 2012 - 17:19:36)

DlTA	Отправлено: 04 Января, 2012 - 17:27:00
Постоянный участник Покинул форум Сообщений всего: 2952 Дата рег-ции: Окт. 2010 Помог: 53 раз(а)	$slovo = "'ssdf'"; dadli пишет: SELECT id FROM mytable WHERE name = '$slovo' => SELECT id FROM mytable WHERE name = ''ssdf'' // вернет ошибку для избежания подобных ситуаций экранируют кавычки в строке addslashes SELECT id FROM mytable WHERE name = '/'ssdf/'' так понятней? (Отредактировано автором: 04 Января, 2012 - 17:35:09)

tuareg	Отправлено: 04 Января, 2012 - 17:31:54
Участник Покинул форум Сообщений всего: 1234 Дата рег-ции: Июнь 2010 Помог: 69 раз(а)	Тут имеется ввиду, инъекция возможна когда Вы подставляете переменную. PHP: скопировать код в буфер обмена $query = "SELECT `id`, `name` FROM `products` WHERE `id`=".$id.""; Т.е злой дядя подставляет в переменную $id доп параметры и выполняется уже другой запрос. Так называемый динамический SQL Если же у Вас статический запрос вида PHP: скопировать код в буфер обмена $query = "SELECT `id`, `name` FROM `products` WHERE `name`='тра-та-та'"; Тут ничего экранировать не надо. В этот запрос ни какие доп параметры не вставить.

dadli	Отправлено: 04 Января, 2012 - 17:54:17
Посетитель Покинул форум Сообщений всего: 416 Дата рег-ции: Май 2011 Откуда: тифилис Помог: 5 раз(а)	Самогонщик DlTA tuareg да, тепер понятно, спасибо балшои

Поиск в теме | Версия для печати

Страниц (1): [1]

Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)

« SQL и Архитектура БД »

Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.