Jump to content
php.lv forumi

par sql injection


labaiss

Recommended Posts

Vēlos pārliecināties:

 

Vai šādas darbības, pilnībā izslēdz Sql injection iespēju:

 


$postotais_mainigais = mysqli_real_escape_string(trim($postotais_mainigais));

+

datu validācija

 

Itkā tā tam vajadzētu būt, ja nekļūdos - bet vēlos pārliecināties (būtu muļķīgi kļūdīties).

Edited by labaiss
Link to comment
Share on other sites

  • Replies 34
  • Created
  • Last Reply

Top Posters In This Topic

Top Posters In This Topic

Funkcija trim() apgriezīs sākumu un beigas stringam. Attiecīgi noņemts visus tukšumus (spaces), kas neatrodas pa vidu. =) Tas nav saistīts ar SQL injekcijām. Man tā domāt. Labojiet, ja tā nav. ))

Edited by daGrevis
Link to comment
Share on other sites

Nevis sPrintF() bet sprintf().

 

Par PDO vs MySQL manas domas: PDO ir veerts lietot, ja izmanto arii kaadu ORM + piemeeram Active Record un pats manuaali nekaadus specifiskus kveerijus nedrukaa. Tad kveeriji, visticamaak, buus deriigi ne-tikai prieksh, piemeeram, MySQL un paarsleegties uz citu DB buus viegli. Savukaart ja pats raksta kveerijus (+ specifiskus savai DBMS kaa jau codez paraadiija), tad IMO no PDO liela jeega nebuus, jo dalja kveeriju taapat buus jaapaarraksta , ja veeleesies lietot ko citu. Protams, standartizaacijas deelj kompaanijaa var lietot tikai PDO arii ja ir zinaams, ka tekoshajaa projektaa DMBS mainiita netiks - ieraduma peec...

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...

×
×
  • Create New...