Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737 Форумы портала PHP.SU :: защита от sql инъекций
Покинул форум
Сообщений всего: 24
Дата рег-ции: Июль 2013
Помог: 0 раз(а)
То есть $logs = "'".mysql_real_escape_string($_POST['text'])."'" будет правильнее?=)))
LIME
Отправлено: 23 Августа, 2013 - 22:56:49
Активный участник
Покинул форум
Сообщений всего: 10732
Дата рег-ции: Нояб. 2010
Помог: 322 раз(а)
ну и бред
навели тень на плетень
все проще
для численных значений приводит к численным
для остальных пользуйся ф-фцию выше
много встречал у говнокодеров взятие числа в кавычки как выше
это от непонимания
но одно верно сказано
изучи вопрос (Добавление)
телефон сменил пару слов но смысл остался верно
DelphinPRO
Отправлено: 23 Августа, 2013 - 23:44:50
Активный участник
Покинул форум
Сообщений всего: 7187
Дата рег-ции: Февр. 2012
Помог: 353 раз(а)
print322 пишет:
То есть $logs = "'".mysql_real_escape_string($_POST['text'])."'" будет правильнее?=)))
Покинул форум
Сообщений всего: 10732
Дата рег-ции: Нояб. 2010
Помог: 322 раз(а)
prepared statements скорее подход чем способ
думаю к нему надо переходить уже знаючи
...
уже не прокатит?...почему?
как-то mysqli только пользую
print322
Отправлено: 24 Августа, 2013 - 00:51:46
Новичок
Покинул форум
Сообщений всего: 24
Дата рег-ции: Июль 2013
Помог: 0 раз(а)
так всё-же $logs = mysql_real_escape_string($_POST['text']); будет правильнее?
LIME
Отправлено: 24 Августа, 2013 - 00:58:45
Активный участник
Покинул форум
Сообщений всего: 10732
Дата рег-ции: Нояб. 2010
Помог: 322 раз(а)
если это текстовый или перечисляемый тип в таблице то однозначно да
иначе нет (Добавление)
или дата время
тоже да
вобщем все что в запросе берется в кавычки
другой вопрос в том ясир надо правильно валидировать данные
например если это дата то проверить на существование
тогда и экранировать нечего будет
панацеи нет
выше кроме бреда правильную вещь сказали
пойми что есть инъекция
загугли
DelphinPRO
Отправлено: 24 Августа, 2013 - 02:17:35
Активный участник
Покинул форум
Сообщений всего: 7187
Дата рег-ции: Февр. 2012
Помог: 353 раз(а)
LIME пишет:
уже не прокатит?...почему?
там функция экранирования сама обрамляет выражение кавычками, которые совсем не нужно писать в запросе ни для каких типов. Вместо это вторым параметром передается константа, указывающая на тип данных. По умолчанию - string
Это если использовать простой квери, без подготовки
Покинул форум
Сообщений всего: 10732
Дата рег-ции: Нояб. 2010
Помог: 322 раз(а)
те же помидоры вид сбоку
но дисциплинирует
меньше шансов зевнуть
если правильно понял (Добавление)
просто я в принципе не беру ничего из супер массивов
в классах декларирую
массив для класса-валидатора и беру из него
тоже нельзя зевнуть))
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.