Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737
Форумы портала PHP.SU :: Защита от SQL инъекций в PDO

 PHP.SU

Программирование на PHP, MySQL и другие веб-технологии
PHP.SU Портал     На главную страницу форума Главная     Помощь Помощь     Поиск Поиск     Поиск Яндекс Поиск Яндекс     Вакансии  Пользователи Пользователи


 Страниц (1): [1]   

> Описание: Помогите разобраться...
koka
Отправлено: 18 Июля, 2011 - 10:27:23
Post Id



Гость


Покинул форум
Сообщений всего: 115
Дата рег-ции: Июнь 2010  
Откуда: Россия, Ижевск


Помог: 1 раз(а)




Здравствуйте!!! Решил переделать все запросы на моем сайте в PDO.

Подскажите, как правильно надо составить запрос

CODE (SQL):
скопировать код в буфер обмена
  1. SELECT *
  2.  
  3.             FROM `table`
  4.  
  5.             WHERE `marka`='{$_GET['marka']}'


Видел такой пример для INSERT

PHP:
скопировать код в буфер обмена
  1.   $DBH = new PDO("mysql:host=$host;dbname=$dbname", $user, $pass);  
  2.   $DBH->setAttribute( PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION );
  3.   $STH = $DBH->("INSERT INTO folks (name, addr, city) value (:name, :addr, :city)");
  4. $data = array( 'name' => 'Мишель', 'addr' => 'переулок Кузнечный', 'city' => 'Cnjkbwf' );
  5.   $STH->execute($data);  
  6.  


Сразу несколько вопросов - если вместо массива $data я буду использовать $_POST без предварительной обработки, будет ли это безопасно??? Можно ли указать таким же способом переменные в запросе типа select??? И как вообще правильно составить запрос, который я написал в самом начале???


-----
http://rulevoi[dot]net - запчасти для иномарок в Ижевске
 
 Top
neatek
Отправлено: 18 Июля, 2011 - 10:40:22
Post Id



Гость


Покинул форум
Сообщений всего: 113
Дата рег-ции: Июнь 2011  


Помог: 0 раз(а)




Нормально ты написал запрос, только * не используй, лучше перечисли столбцы которые тебе нужны, если все, то все перечисли, на хабрахабре читал...

{$_GET['marka']} - я считаю, что в запросе лучше не указывать GET и POST. Мало ли туда чего можно запихать, лучше проверяй, то что тебе нужно, количество символов, содержащие символы и.т.д.

И вот еще, `marka`='{$_GET['marka']}' - скобки мне кажется собьются.

Лишняя проверка никогда не помешает, лично мое мнение.

Я не особо много чего знаю про PHP, по лучше проверки делать, все что вводит пользователь. В любые формы, GET запросы... и не выводить их на сайт без проверки.

Насчет $data вообще не врубился)

(Отредактировано автором: 18 Июля, 2011 - 10:40:50)

 
 Top
koka
Отправлено: 18 Июля, 2011 - 11:06:57
Post Id



Гость


Покинул форум
Сообщений всего: 115
Дата рег-ции: Июнь 2010  
Откуда: Россия, Ижевск


Помог: 1 раз(а)




neatek, я не синтаксис запроса имел в виду. Меня интересуют, как правильно подготовить этот запрос с помощью PDO. Я так понял, что обработанный запрос поможет защитить от SQl инъекций, поэтому интересуюсь, как правильно передать в запрос $_GET['marka']


-----
http://rulevoi[dot]net - запчасти для иномарок в Ижевске
 
 Top
Страниц (1): [1]
Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)
« Работа с СУБД »


Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.
 



Powered by PHP  Powered By MySQL  Powered by Nginx  Valid CSS  RSS

 
Powered by ExBB FM 1.0 RC1. InvisionExBB