PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

Главная

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

работа с pdo

Форумы портала PHP.SU » PHP » Программирование на PHP » Работа с СУБД (Модераторы: OrmaJever, Саныч)

Страниц (1): [1]

Без описания

Поиск в теме | Версия для печати

Ex	Отправлено: 04 Мая, 2014 - 12:06:40
Частый гость Покинул форум Сообщений всего: 189 Дата рег-ции: Июнь 2013 Помог: 0 раз(а)	только учусь использовать pdo. и вот возник вопрос, вот прежде чем вносить что то в бд, нужно обработать данные, что ввел пользователь. У меня такой код (пока все по простому, ток учусь : PHP: скопировать код в буфер обмена include ('connect.php'); $sql = $db->prepare('INSERT INTO people (name) VALUES (:name)'); $sql->bindParam(":name", $name); $name = 'Имя'; $name = $db->quote($name); $sql->execute(); $db = NULL; А это вывод инфы PHP: скопировать код в буфер обмена include ('connect.php'); $sql = 'SELECT * FROM people'; $result = $db->query($sql); foreach($result as $row) {echo $row['id'] . ' ' . $row['name'] . '<br>';} $db = NULL; Так вот, этот код вписывает в бд имя с кавычками 'name' и выводит так же с кавычками Как выводить уже без кавычек? (Отредактировано автором: 04 Мая, 2014 - 12:09:06)

Мелкий	Отправлено: 04 Мая, 2014 - 12:10:17
Активный участник Покинул форум Сообщений всего: 11926 Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург Помог: 618 раз(а)	quote делать не нужно. ----- PostgreSQL DBA

Ex	Отправлено: 04 Мая, 2014 - 12:13:19
Частый гость Покинул форум Сообщений всего: 189 Дата рег-ции: Июнь 2013 Помог: 0 раз(а)	Мелкий пишет: quote делать не нужно. а как же "защита"? обработать данные что введет пользователь? это пишут везде, я по гуглу полазил

Panoptik	Отправлено: 04 Мая, 2014 - 12:16:36
Постоянный участник Покинул форум Сообщений всего: 2493 Дата рег-ции: Нояб. 2011 Откуда: Одесса, Украина Помог: 131 раз(а)	http://ua2.php.net/pdo.prepared-statements вот примеры на которые вы должны ссылаться ----- Just do it

Ex	Отправлено: 04 Мая, 2014 - 12:19:29
Частый гость Покинул форум Сообщений всего: 189 Дата рег-ции: Июнь 2013 Помог: 0 раз(а)	Panoptik пишет: http://ua2.php.net/pdo.prepared-statements вот примеры на которые вы должны ссылаться то есть обрабатывать ненужно что введет пользователь? а как же защита? или иньекции в этих случаях исключены? просто зачем тогда в учебниках в гугле сток пишут об quote

Мелкий	Отправлено: 04 Мая, 2014 - 12:20:58
Активный участник Покинул форум Сообщений всего: 11926 Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург Помог: 618 раз(а)	Ex пишет: а как же "защита"? обработать данные что введет пользователь? А эти занимается механизм prepared statements. Дважды делать mysql_real_escape_string ведь не надо было, одно раза было достаточно? ----- PostgreSQL DBA

Ex	Отправлено: 04 Мая, 2014 - 12:23:19
Частый гость Покинул форум Сообщений всего: 189 Дата рег-ции: Июнь 2013 Помог: 0 раз(а)	Мелкий пишет: Ex пишет: а как же "защита"? обработать данные что введет пользователь? А эти занимается механизм prepared statements. Дважды делать mysql_real_escape_string ведь не надо было, одно раза было достаточно? ага спасиб, просто совсем еще неопытный, еще толком не разбираюсь 2 день пытаюсь понять

Ex	Отправлено: 04 Мая, 2014 - 19:41:50
Частый гость Покинул форум Сообщений всего: 189 Дата рег-ции: Июнь 2013 Помог: 0 раз(а)	еще 1 вопрос вот 2 способа видел, например для вывода инфы из бд: PHP: скопировать код в буфер обмена include ('connect.php'); $sql = 'SELECT * FROM people'; $result = $db->prepare($sql); $result->execute(); foreach($result as $row) {echo $row['id'] . ' ' . $row['name'] . '<br>';} $db = NULL; PHP: скопировать код в буфер обмена include ('connect.php'); $sql = 'SELECT * FROM people'; $result = $db->query($sql); foreach($result as $row) {echo $row['id'] . ' ' . $row['name'] . '<br>';} $db = NULL; т.е. в 1: подготавливаем и потом выполняем. во 2: сразу выводим я так понял. Оба метода работают. Но я хотел спросить, какой лучше? Безопаснее? (Отредактировано автором: 04 Мая, 2014 - 19:48:13)

3d_killer	Отправлено: 04 Мая, 2014 - 20:14:38
Участник Покинул форум Сообщений всего: 1916 Дата рег-ции: Апр. 2011 Откуда: Ростов-на-Дону Помог: 21 раз(а)	у тебя нет тут переменных так что запрос можно не подготавливать

Ex	Отправлено: 04 Мая, 2014 - 20:20:28
Частый гость Покинул форум Сообщений всего: 189 Дата рег-ции: Июнь 2013 Помог: 0 раз(а)	3d_killer пишет: у тебя нет тут переменных так что запрос можно не подготавливать не ну я для примера сделал, естественно у меня будут переменные.

3d_killer	Отправлено: 04 Мая, 2014 - 20:55:22
Участник Покинул форум Сообщений всего: 1916 Дата рег-ции: Апр. 2011 Откуда: Ростов-на-Дону Помог: 21 раз(а)	тогда с prepare

Ex	Отправлено: 10 Мая, 2014 - 19:25:25
Частый гость Покинул форум Сообщений всего: 189 Дата рег-ции: Июнь 2013 Помог: 0 раз(а)	вот, что то начал делать, и вопрос: правильно ли? согласно логики и безопасности? подскажите, что не так, и что нужно сделать, что я упустил... Буду очень благодарен Спойлер (Отобразить) CODE (htmlphp): скопировать код в буфер обмена <div id="div_search"> <form id="searcher" method="post" action="search.php"> <input type="search" id="search_text" name="search">     Поиск по:   <select id="select" required name="select"> <option value="1">Фамилии <option value="2">Имени <option value="3">Отчеству <option value="4">Адресу <option value="5">Телефону </select>    <input type="submit" id="search" name="go_search" value="" /> </form> <a id="search_plus" href="#">Расширенный поиск</a> </div> <?php if (isset($_REQUEST['go_search'])) { if ($_POST['select'] == 1) {$condition = 'surname';} if ($_POST['select'] == 2) {$condition = 'name';} if ($_POST['select'] == 3) {$condition = 'patronymic';} if ($_POST['select'] == 4) {$condition = 'address';} if ($_POST['select'] == 5) {$condition = 'phone';} include ('connect.php'); $search = $_POST['search']; $search = "%$search%"; $result = $db->prepare('SELECT * FROM people where ' . $condition . ' LIKE ?'); $result->bindParam(1, $search); $result->execute(); foreach($result as $row) {echo $row['surname'] . ' ' . $row['name'] . ' ' . $row['patronymic'] . ' ' . $row['address'] . ' ' . $row['phone'] . '<br>';} $db = NULL; } ?> (Отредактировано автором: 10 Мая, 2014 - 19:29:59)

Поиск в теме | Версия для печати

Страниц (1): [1]

Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)

« Работа с СУБД »

Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.