[MySQL][PHP]Optymalizacja i bezpieczeństwo zapytań

[MySQL][PHP]Optymalizacja i bezpieczeństwo zapytań

vegeta Zobacz profil	2.12.2010, 00:37:41 Post #1
Grupa: Zarejestrowani Postów: 122 Pomógł: 0 Dołączył: 9.11.2008 Ostrzeżenie: (10%)	Można jakoś zoptymalizować te zapytania? Byłbym wdzięczny za podanie błędów, które mogą zaszkodzić bezpieczeństwu bazy. [PHP] pobierz, plaintext $zarejestrowani = "SELECT COUNT(id) FROM `users`"; $zarej = mysql_fetch_array(mysql_query($zarejestrowani)); $online = "SELECT COUNT(active) FROM `users` WHERE active='1' and last_action > ".(time() - 900).""; $active = mysql_fetch_array(mysql_query($online)); $ostatni = "SELECT `login` FROM `users` ORDER BY `id` DESC LIMIT 1"; $ost = mysql_fetch_array(mysql_query($ostatni)); $mostactive = "SELECT `mostactive` FROM `inne` WHERE `id`='1'"; $mostact = mysql_fetch_array(mysql_query($mostactive)); [PHP] pobierz, plaintext Wyniki wyświetlam później np. Kod Online: '.$active['COUNT(active)'].'<br /> Ten post edytował vegeta 2.12.2010, 00:38:47

Odpowiedzi

mmica Zobacz profil	2.12.2010, 16:58:34 Post #2
Grupa: Zarejestrowani Postów: 60 Pomógł: 20 Dołączył: 30.11.2010 Skąd: 127.0.0.1 Ostrzeżenie: (10%)	@fifi209: No nie trzeba od razu tak besztać. Po to istnieje to forum, aby rozmawiać i wyprowadzać z błędu. Kolega napisał: Cytat Byłbym wdzięczny za podanie błędów, które mogą zaszkodzić bezpieczeństwu bazy. A ja odpowiedziałem co może mu się przytrafić i na co powinien uważać, tylko tyle. A co do apostrofów: wyraziłem moją niepewność. Cytat Jaką różnicę zrobi wpisanie np. jako username ' and 1=1 /* " and 1=1 /* Dla mnie żadną Tak, chyba trochę robi różnicę. Stringa trzeba zamknąć, a jeżeli wyescape'uje się ciąg podany jako argument zostaną wyescapowane wszystkie apostrofy, a zatem ciąg nie zostanie zamknięty i żaden OR ani nic podobnego nie zdziała, bo zostanie częścią stringa, prawda? Poza tym mowa była o int'ach i w tym przypadku bez podania apostrofów escapowanie nie pomogłoby. Chyba, że ja tutaj czegoś nie pojmuję. Argument, który przemawia za PDO, to przenośność pomiędzy bazami danych. Możliwe, że w przyszłości będziemy musieli uruchomić ten skrypt na innym serwerze, na którym nie będzie MySQL tylko PostgreSQL i co wtedy? Będziemy przepisywać cały kod? Moim zdaniem lepiej pomyśleć o tym wcześniej niż później kląć pod nosem i rezerwować sobie godziny nerwów. Nie rozumiem też tego porównania do koparki. Za pomocą PDO wszystko miałoby zwięzłą i zrozumiałą formę. Mogłbym zrozumieć gdyby chodziło o jakąś zewnętrzną bibliotekę, którą trzeba dołączyć, ale PDO to standard.. Dzięki za ciekawy link! Muszę go później dokładniej przejrzeć. Pozdrawiam, mmica Ten post edytował mmica 2.12.2010, 17:39:12

Posty w temacie

vegeta [MySQL][PHP]Optymalizacja i bezpieczeństwo zapytań 2.12.2010, 00:37:41

fifi209 Przecież nie wstawiasz tutaj żadnych zmiennych do ... 2.12.2010, 08:18:40

Mephistofeles Nie, tylko jedna mała uwaga: intów nie dawaj w żad... 2.12.2010, 15:05:44

mmica Przefiltruj, escapuj etc., a najlepiej przejdź na ... 2.12.2010, 16:06:00

fifi209 Cytat(mmica @ 2.12.2010, 16:06:00 ) P... 2.12.2010, 16:10:41

vegeta Ok. A da się jakoś połączyć te zapytania, aby było... 2.12.2010, 16:09:36

mmica @fifi209: No nie trzeba od razu tak besztać. Po to... 2.12.2010, 16:58:34

fifi209 Przenośność swoją drogą ale pamiętaj nie wszystko ... 2.12.2010, 18:22:32

Mephistofeles Chcąc zapewnić pełną przenośność lepiej użyć Doctr... 2.12.2010, 20:13:14

vegeta Dobra, ale jak je zoptymalizować (zrobić z tych za... 5.12.2010, 20:58:13

« Następny starszy · Przedszkole · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 28.09.2025 - 03:08

Hosting zapewnia

Forum PHP.pl