Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> PDO zabezpieczenia ?
smiady
post
Post #1





Grupa: Zarejestrowani
Postów: 137
Pomógł: 2
Dołączył: 2.07.2007
Skąd: Ostrzeszów

Ostrzeżenie: (0%)
-----

Witam.

Mam pytanie odnośnie PDO i wstrzykiwania kodu.
Otóż mam taki fragment:

[PHP] pobierz, plaintext 
  1. 					$db= new PDO('mysql:host=localhost;dbname=test', 'root', '');
  2.  
  3. 					$sql= "SELECT id FROM uzytkownicy WHERE login= :login AND haslo= :haslo";
  4. 					$login= $db->prepare($sql);
  5.  
  6. 					$login->execute(array(':login' => $_REQUEST['login'],
  7. 								         ':haslo' => $_REQUEST['haslo']));
  8. 					if($login->fetch()) echo 'zostałeś zalogowany !';
  9. 					else echo 'niestety nie zostałeś zalogowany !';
[PHP] pobierz, plaintext


i gdy w loginie wpisuje np test' -- (po myślnikach jeszcze spacja) to nie da się zalogować, a w przypadku mysqli bez użycia real_escape_string już da.
Myślałem, że bindValue ma zabezpieczenia, a czy execute je też tworzy ? czy w przypadku PDO kod się inaczej wstrzykuje - jeśli tak to jak ?
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
smiady
post
Post #2





Grupa: Zarejestrowani
Postów: 137
Pomógł: 2
Dołączył: 2.07.2007
Skąd: Ostrzeszów

Ostrzeżenie: (0%)
-----

Mówicie, że z bindValue należy korzystać, bo określasz czego się spodziewasz, więc zrobiłem test

[PHP] pobierz, plaintext 
  1. 				$sql= "INSERT INTO liczby(liczba1, liczba2, liczba3) VALUES(:liczba1, :liczba2, :liczba3)";
  2. 				$liczby= $db->prepare($sql);
  3.  
  4. 				$liczby->execute(array(':liczba1' => $_REQUEST['liczba1'],
  5. 							           ':liczba2' => $_REQUEST['liczba2'],
  6. 								   ':liczba3' => $_REQUEST['liczba3']));
[PHP] pobierz, plaintext


gdzie liczba1 to int, liczba2 to double, liczba3 to string. Podaje liczby i nie ma problemu zapisuje w bazie, więc w sumie zastanawiam się nad sensem stosowania bindValue.
Jak np podam test, test, test to zapisze 0, 0, test, jak 1test, 2test, 3test to zapisze 1, 2, 3, czyli w sumie execute ładnie parsuje.

Ten post edytował smiady 26.06.2014, 20:12:21
Go to the top of the page
+Quote Post

Posty w temacie
- smiady   PDO zabezpieczenia ?   25.06.2014, 22:32:04
- - Damonsson   To co robisz w execute to właśnie skrócone bindowa...   25.06.2014, 22:35:33
- - smiady   W zasadzie bindValue mija się trochę z celem, bo r...   25.06.2014, 22:38:59
- - Michael2318   PDO ogólnie ma taką ideę, że nie musisz w ogóle my...   25.06.2014, 22:39:47
- - Damonsson   Nie prawda, powinno się stosować bindValue/Param i...   25.06.2014, 22:41:58
- - redeemer   @Michael2318: Nie zgadzam się. Trzeba pamiętać, że...   25.06.2014, 22:45:54
- - Spawnm   PDO nic nie pomoże jeśli ktoś wsadzi $_GET/...   25.06.2014, 23:30:07
- - Michael2318   Dlatego dodałem, że jedyne co musi zrobić to zbind...   26.06.2014, 08:04:23
- - smiady   Mówicie, że z bindValue należy korzystać, bo okreś...   26.06.2014, 20:08:58
- - Michael2318   smiady, zauważ, że tak czy siak w pewnym sensie fi...   26.06.2014, 20:23:38
- - smiady   OK, Michael2318 zgadam się. Tylko zwracam uwagę na...   26.06.2014, 20:39:10
- - Crozin   1. Wszystkie zmienne w $_GET/$_POST/...   26.06.2014, 21:20:00

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 16.10.2025 - 06:04
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn