labaiss Posted December 22, 2010 Report Share Posted December 22, 2010 (edited) Vēlos pārliecināties: Vai šādas darbības, pilnībā izslēdz Sql injection iespēju: $postotais_mainigais = mysqli_real_escape_string(trim($postotais_mainigais)); + datu validācija Itkā tā tam vajadzētu būt, ja nekļūdos - bet vēlos pārliecināties (būtu muļķīgi kļūdīties). Edited December 22, 2010 by labaiss Quote Link to comment Share on other sites More sharing options...
briedis Posted December 22, 2010 Report Share Posted December 22, 2010 ja tu netaisi vēl kaut kādas darbības ar šo postotais_mainigais, bet liec to pa taisno kvērijā, tad jā - sql injekcijas nav iespējamas. Quote Link to comment Share on other sites More sharing options...
daGrevis Posted December 22, 2010 Report Share Posted December 22, 2010 (edited) Funkcija trim() apgriezīs sākumu un beigas stringam. Attiecīgi noņemts visus tukšumus (spaces), kas neatrodas pa vidu. =) Tas nav saistīts ar SQL injekcijām. Man tā domāt. Labojiet, ja tā nav. )) Edited December 22, 2010 by daGrevis Quote Link to comment Share on other sites More sharing options...
mefisto Posted December 22, 2010 Report Share Posted December 22, 2010 Pēdējais laiks apgūt PDO lietošanu. http://php.net/PDO Quote Link to comment Share on other sites More sharing options...
daGrevis Posted December 22, 2010 Report Share Posted December 22, 2010 Varbūt MySQLi? Quote Link to comment Share on other sites More sharing options...
mefisto Posted December 22, 2010 Report Share Posted December 22, 2010 (edited) Tikai tad, ja tu esi pārliecināts, ka mysql ir vienīgā RDBMS sistēma pasaulē. Edited December 23, 2010 by mefisto Quote Link to comment Share on other sites More sharing options...
ezis Posted December 23, 2010 Report Share Posted December 23, 2010 (edited) es vēl šad tad izmantoju sprintf(), nezinu cik tas pareizi, bet strādā :) Kad vajag saņemt decimālos, tad %d + eskeipotājs utt.. Edited December 23, 2010 by ezis Quote Link to comment Share on other sites More sharing options...
Kaklz Posted December 23, 2010 Report Share Posted December 23, 2010 Tikai tad, ja tu esi pārliecināts, ka mysql ir vienīgā DBRM sistēma pasaulē. Pietiks arī ar gadījumu, ja tā ir vienīgā, kuru tu lieto. Quote Link to comment Share on other sites More sharing options...
codez Posted December 23, 2010 Report Share Posted December 23, 2010 mefisto, kāda atšķirība starp PDO un Mysqli izmantošanu, ja es tos izmantoju, piemēram, ar šādu kveriju: SELECT * FROM users WHERE id=123 FOR UPDATE Quote Link to comment Share on other sites More sharing options...
mefisto Posted December 23, 2010 Report Share Posted December 23, 2010 es jau uz to atbildēju augstāk. Quote Link to comment Share on other sites More sharing options...
codez Posted December 23, 2010 Report Share Posted December 23, 2010 (edited) Uz citām RDBMS, izmantojot PDO, tik un tā neies šāds kverijs. Kāda jēga tad izmantot PDO? Edited December 23, 2010 by codez Quote Link to comment Share on other sites More sharing options...
codez Posted December 23, 2010 Report Share Posted December 23, 2010 Nu bet kāda jēga izmantot šo konekciju abstrakciju, kā tu saki, ja kveriji tik un tā ir atkarīgi no RDBMS? Quote Link to comment Share on other sites More sharing options...
mefisto Posted December 23, 2010 Report Share Posted December 23, 2010 PDO ir konekcijas abstrakcija, kam nav nekāda sakara ar pašiem querijem, Quote Link to comment Share on other sites More sharing options...
daGrevis Posted December 23, 2010 Report Share Posted December 23, 2010 Neiztraukšu strīdu par to, kas labāks, jo nezinu, bet sPrintF() ir labi! =)) Quote Link to comment Share on other sites More sharing options...
rATRIJS Posted December 23, 2010 Report Share Posted December 23, 2010 Nevis sPrintF() bet sprintf(). Par PDO vs MySQL manas domas: PDO ir veerts lietot, ja izmanto arii kaadu ORM + piemeeram Active Record un pats manuaali nekaadus specifiskus kveerijus nedrukaa. Tad kveeriji, visticamaak, buus deriigi ne-tikai prieksh, piemeeram, MySQL un paarsleegties uz citu DB buus viegli. Savukaart ja pats raksta kveerijus (+ specifiskus savai DBMS kaa jau codez paraadiija), tad IMO no PDO liela jeega nebuus, jo dalja kveeriju taapat buus jaapaarraksta , ja veeleesies lietot ko citu. Protams, standartizaacijas deelj kompaanijaa var lietot tikai PDO arii ja ir zinaams, ka tekoshajaa projektaa DMBS mainiita netiks - ieraduma peec... Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.