![]() |
![]() |
![]()
Post
#1
|
|
Grupa: Zarejestrowani Postów: 122 Pomógł: 0 Dołączył: 9.11.2008 Ostrzeżenie: (10%) ![]() ![]() |
Można jakoś zoptymalizować te zapytania? Byłbym wdzięczny za podanie błędów, które mogą zaszkodzić bezpieczeństwu bazy.
Wyniki wyświetlam później np. Kod Online: '.$active['COUNT(active)'].'<br />
Ten post edytował vegeta 2.12.2010, 00:38:47 |
|
|
![]() |
![]()
Post
#2
|
|
Grupa: Zarejestrowani Postów: 60 Pomógł: 20 Dołączył: 30.11.2010 Skąd: 127.0.0.1 Ostrzeżenie: (10%) ![]() ![]() |
Przefiltruj, escapuj etc., a najlepiej przejdź na OOP i skorzystaj z PDO i preparowania zapytań. Z PDO masz mniej rzeczy na głowie i możesz spać spokojnie wiedząc, że wszystko jest w porządku i niczego nie zapomniałeś przefiltrować pod kątem niepożądanego kodu. Ale nie masz co się martwić jeżeli nie wstawiasz zmiennych do zapytania (IMG:style_emoticons/default/winksmiley.jpg)
@Mephistofeles: Widzę, że są dwie różne szkoły. Jedni radzą zawsze używać apostrofów, a inni wręcz przeciwnie. Czy brak apostrofów nie ułatwia czasami sql injection? Możliwe, że coś pomieszałem, a jeżeli tak się stało niech mnie ktoś oświeci. W samym SQL nie używać, bo nie ma po co, ale obsługa bazy przez PHP to już inna baja, nie? (biorę pod uwagę, że w tym kodzie ma to małe znaczenie [statyczne zapytania], ale przeczyta to ktoś dopiero zaczynający zabawę z PHP i będzie buble pisał, a nie kod..) Pozdrawiam, mmica |
|
|
![]()
Post
#3
|
|
Grupa: Zarejestrowani Postów: 4 655 Pomógł: 556 Dołączył: 17.03.2009 Skąd: Katowice Ostrzeżenie: (0%) ![]() ![]() |
Przefiltruj, escapuj etc., Popatrz na kod i odpowiedz mi na pytanie: Co przefiltrować? Co escapować? a najlepiej przejdź na OOP i skorzystaj z PDO i preparowania zapytań. Z PDO masz mniej rzeczy na głowie i możesz spać spokojnie wiedząc, że wszystko jest w porządku i niczego nie zapomniałeś przefiltrować pod kątem niepożądanego kodu. A jak masz wykopać jedną małą dziurę to kupisz koparkę? Ale nie masz co się martwić jeżeli nie wstawiasz zmiennych do zapytania (IMG:style_emoticons/default/winksmiley.jpg) Więc po co piszesz o filtrowaniu i escapowaniu? Widzę, że są dwie różne szkoły. Jedni radzą zawsze używać apostrofów, a inni wręcz przeciwnie. Wystarczy popatrzeć na wydajność. Link! Czy brak apostrofów nie ułatwia czasami sql injection? Jaką różnicę zrobi wpisanie np. jako username ' and 1=1 /* " and 1=1 /* Dla mnie żadną |
|
|
![]() ![]() |
![]() |
Aktualny czas: 8.10.2025 - 03:13 |