[PHP] Czy powinienem zabezpieczać $_GET?

[PHP] Czy powinienem zabezpieczać $_GET?

-Marek_cc-	2.01.2011, 13:10:21 Post #1
Goście	Witam Mam pytanie. Czy bezpiecznie jest tak bezpośrednio wprowadzać $_GET? [PHP] pobierz, plaintext $zapytanie = $pdo -> query('SELECT * FROM news WHERE id = "'.$_GET['id'].'"'); $row = $zapytanie -> fetch(); [PHP] pobierz, plaintext Czy powinienem go wcześniej potraktować htmlspecialchars i strip_tags?

Odpowiedzi (1 - 3)

emajl22 Zobacz profil	2.01.2011, 13:17:02 Post #2
Grupa: Zarejestrowani Postów: 273 Pomógł: 21 Dołączył: 28.11.2010 Ostrzeżenie: (10%)	htmlspecialchars używa się przy wyświetlaniu. Zapoznaj się z mysql-real-escape-string. -------------------- Szablony HTML / Allegro, Szablony do aukcji allegro lub na Twoją stronę!

hwao Zobacz profil	2.01.2011, 13:46:24 Post #3
Developer Grupa: Moderatorzy Postów: 2 844 Pomógł: 20 Dołączył: 25.11.2003 Skąd: Olkusz	W tym przypadku wystarczy: [PHP] pobierz, plaintext $zapytanie = $pdo -> query('SELECT * FROM news WHERE id = "'.( (int) $_GET['id'] ).'"'); [PHP] pobierz, plaintext Zakładam że Twoje id to liczba całkowita. Ale jako że używasz PDO zainteresuj się: http://www.php.net/manual/en/pdostatement.bindparam.php Szczegóły masz w 1 example Powód edycji: [hwao]:

Mephistofeles Zobacz profil	2.01.2011, 19:41:56 Post #4
Grupa: Zarejestrowani Postów: 1 182 Pomógł: 115 Dołączył: 4.03.2009 Skąd: Myszków Ostrzeżenie: (0%)	Pewnie, mysql_real... przy PDO. Cofamy się w rozwoju? [PHP] pobierz, plaintext $stmt = $pdo->prepare('SELECT * FROM `news` WHERE `id` = :id'); $stmt->bindParam(':id', $id, PDO::PARAM_INT); $stmt->execute(); [PHP] pobierz, plaintext

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Linearny+ · Przełącz na: Drzewo

Aktualny czas: 25.06.2025 - 11:50

Hosting zapewnia

Forum PHP.pl