Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737 Форумы портала PHP.SU :: просмотр переменных на SQL-инъекции [2]
Покинул форум
Сообщений всего: 395
Дата рег-ции: Янв. 2012
Помог: 3 раз(а)
А если из массива, определяемого заранее? говнокод?
etoYA
Отправлено: 26 Марта, 2012 - 11:49:52
Участник
Покинул форум
Сообщений всего: 1859
Дата рег-ции: Июль 2011 Откуда: Крым
Помог: 21 раз(а)
DelphinPRO пишет:
etoYA, затем, что количество слов берется из файла
Ах, да ПТО, прислушайся....
DelphinPRO
Отправлено: 26 Марта, 2012 - 11:49:58
Активный участник
Покинул форум
Сообщений всего: 7187
Дата рег-ции: Февр. 2012
Помог: 353 раз(а)
используйте pg_escape_string - данная функция экранирует все опасные символы, гарантируя что в запрос будет передана просто строка символов.
если пишите с нуля - сразу обратите внимание на PDO
----- Чем больше узнаю, тем больше я не знаю.
ПТО
Отправлено: 26 Марта, 2012 - 11:57:29
Посетитель
Покинул форум
Сообщений всего: 395
Дата рег-ции: Янв. 2012
Помог: 3 раз(а)
DelphinPRO пишет:
используйте pg_escape_string - данная функция экранирует все опасные символы
Какие символы могут быть для меня опасными, интересно? запятая чтоли? Вот слова delete, drop, cascade - да, опасны.
И вопрос2 - почему не советуют сразу подставлять перменные в выражение а-ля
Покинул форум
Сообщений всего: 1239
Дата рег-ции: Сент. 2011 Откуда: Крым
Помог: 25 раз(а)
ПТО Тоесть если юзер напишет delete послать его куда подальше? Странное у Вас желание)) Вам написали что делать. Не подходит?
----- Когда всматриваешься в тёмную бездну, учти, что кто-то может смотреть на тебя из неё...
DelphinPRO
Отправлено: 26 Марта, 2012 - 12:08:43
Активный участник
Покинул форум
Сообщений всего: 7187
Дата рег-ции: Февр. 2012
Помог: 353 раз(а)
ПТО пишет:
почему не советуют сразу подставлять перменные в выражение а-ля
потому что механизм PDO обрабатывает подготовленные выражения, исключая возможность инъекций. И их не нужно обрабатывать функциями экранирования.
Если поставлять переменные непосредственно в запрос - вы сводите на нет это преимущество. (Добавление)
ПТО пишет:
Вот слова delete, drop, cascade - да, опасны.
эти слова не опасны, к тому же они могут находится внутри полезного текста.
а вот кавычка - да
Покинул форум
Сообщений всего: 468
Дата рег-ции: Сент. 2011 Откуда: Владивосток
Помог: 8 раз(а)
-> PDO <- и не надо тестить говнокод, тем более Вам человек сам сказал, что это говнокод.
Если так сильно хочется занятся велосипедостроем - напишите лучше обертку для PDO (=
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.