 PDO zabezpieczenia ? |
| PDO zabezpieczenia ? |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 137 Pomógł: 2 Dołączył: 2.07.2007 Skąd: Ostrzeszów Ostrzeżenie: (0%) 
 |
Witam.
Mam pytanie odnośnie PDO i wstrzykiwania kodu. Otóż mam taki fragment:
i gdy w loginie wpisuje np test' -- (po myślnikach jeszcze spacja) to nie da się zalogować, a w przypadku mysqli bez użycia real_escape_string już da. Myślałem, że bindValue ma zabezpieczenia, a czy execute je też tworzy ? czy w przypadku PDO kod się inaczej wstrzykuje - jeśli tak to jak ? |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Moderatorzy Postów: 4 069 Pomógł: 497 Dołączył: 11.05.2007 Skąd: Warszawa |
PDO nic nie pomoże jeśli ktoś wsadzi $_GET/$_POST do sqla w stylu $sql = "SELECT * FROM foo WHERE id=".$_GET['id'];
Nadal będziemy mieć podatność mimo super pdo. |
|
|
|
smiady PDO zabezpieczenia ? 25.06.2014, 22:32:04 
Damonsson To co robisz w execute to właśnie skrócone bindowa... 25.06.2014, 22:35:33 smiady W zasadzie bindValue mija się trochę z celem, bo r... 25.06.2014, 22:38:59 Michael2318 PDO ogólnie ma taką ideę, że nie musisz w ogóle my... 25.06.2014, 22:39:47 Damonsson Nie prawda, powinno się stosować bindValue/Param i... 25.06.2014, 22:41:58 redeemer @Michael2318: Nie zgadzam się. Trzeba pamiętać, że... 25.06.2014, 22:45:54 Michael2318 Dlatego dodałem, że jedyne co musi zrobić to zbind... 26.06.2014, 08:04:23 smiady Mówicie, że z bindValue należy korzystać, bo okreś... 26.06.2014, 20:08:58 Michael2318 smiady, zauważ, że tak czy siak w pewnym sensie fi... 26.06.2014, 20:23:38 smiady OK, Michael2318 zgadam się. Tylko zwracam uwagę na... 26.06.2014, 20:39:10 
Crozin 1. Wszystkie zmienne w $_GET/$_POST/... 26.06.2014, 21:20:00  |
|
Aktualny czas: 17.10.2025 - 23:52 |
