 [MySQL][PHP]Optymalizacja i bezpieczeństwo zapytań |
| [MySQL][PHP]Optymalizacja i bezpieczeństwo zapytań |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 122 Pomógł: 0 Dołączył: 9.11.2008 Ostrzeżenie: (10%) 
 |
Można jakoś zoptymalizować te zapytania? Byłbym wdzięczny za podanie błędów, które mogą zaszkodzić bezpieczeństwu bazy.
Wyniki wyświetlam później np. Kod Online: '.$active['COUNT(active)'].'<br />
Ten post edytował vegeta 2.12.2010, 00:38:47 |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 60 Pomógł: 20 Dołączył: 30.11.2010 Skąd: 127.0.0.1 Ostrzeżenie: (10%)
|
Przefiltruj, escapuj etc., a najlepiej przejdź na OOP i skorzystaj z PDO i preparowania zapytań. Z PDO masz mniej rzeczy na głowie i możesz spać spokojnie wiedząc, że wszystko jest w porządku i niczego nie zapomniałeś przefiltrować pod kątem niepożądanego kodu. Ale nie masz co się martwić jeżeli nie wstawiasz zmiennych do zapytania (IMG:style_emoticons/default/winksmiley.jpg)
@Mephistofeles: Widzę, że są dwie różne szkoły. Jedni radzą zawsze używać apostrofów, a inni wręcz przeciwnie. Czy brak apostrofów nie ułatwia czasami sql injection? Możliwe, że coś pomieszałem, a jeżeli tak się stało niech mnie ktoś oświeci. W samym SQL nie używać, bo nie ma po co, ale obsługa bazy przez PHP to już inna baja, nie? (biorę pod uwagę, że w tym kodzie ma to małe znaczenie [statyczne zapytania], ale przeczyta to ktoś dopiero zaczynający zabawę z PHP i będzie buble pisał, a nie kod..) Pozdrawiam, mmica |
|
|
|
|
Post
#3
|
|
|
Grupa: Zarejestrowani Postów: 4 655 Pomógł: 556 Dołączył: 17.03.2009 Skąd: Katowice Ostrzeżenie: (0%) 
|
Cytat(mmica @ 2.12.2010, 16:06:00 )  Przefiltruj, escapuj etc., Popatrz na kod i odpowiedz mi na pytanie: Co przefiltrować? Co escapować? Cytat(mmica @ 2.12.2010, 16:06:00 ) a najlepiej przejdź na OOP i skorzystaj z PDO i preparowania zapytań. Z PDO masz mniej rzeczy na głowie i możesz spać spokojnie wiedząc, że wszystko jest w porządku i niczego nie zapomniałeś przefiltrować pod kątem niepożądanego kodu. A jak masz wykopać jedną małą dziurę to kupisz koparkę? Cytat(mmica @ 2.12.2010, 16:06:00 ) Ale nie masz co się martwić jeżeli nie wstawiasz zmiennych do zapytania (IMG:style_emoticons/default/winksmiley.jpg) Więc po co piszesz o filtrowaniu i escapowaniu? Cytat(mmica @ 2.12.2010, 16:06:00 ) Widzę, że są dwie różne szkoły. Jedni radzą zawsze używać apostrofów, a inni wręcz przeciwnie. Wystarczy popatrzeć na wydajność. Link! Cytat(mmica @ 2.12.2010, 16:06:00 ) Czy brak apostrofów nie ułatwia czasami sql injection? Jaką różnicę zrobi wpisanie np. jako username ' and 1=1 /* " and 1=1 /* Dla mnie żadną |
|
|
|
vegeta [MySQL][PHP]Optymalizacja i bezpieczeństwo zapytań 2.12.2010, 00:37:41 
fifi209 Przecież nie wstawiasz tutaj żadnych zmiennych do ... 2.12.2010, 08:18:40 Mephistofeles Nie, tylko jedna mała uwaga: intów nie dawaj w żad... 2.12.2010, 15:05:44 vegeta Ok. A da się jakoś połączyć te zapytania, aby było... 2.12.2010, 16:09:36 mmica @fifi209: No nie trzeba od razu tak besztać. Po to... 2.12.2010, 16:58:34 fifi209 Przenośność swoją drogą ale pamiętaj nie wszystko ... 2.12.2010, 18:22:32 Mephistofeles Chcąc zapewnić pełną przenośność lepiej użyć Doctr... 2.12.2010, 20:13:14 
vegeta Dobra, ale jak je zoptymalizować (zrobić z tych za... 5.12.2010, 20:58:13  |
|
Aktualny czas: 9.10.2025 - 18:21 |
