Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

 
 Reply to this topicStart new topic
> PDO::PARAM_INT problem
nexxx
post 6.02.2018, 14:47:10
Post #1





Grupa: Zarejestrowani
Postów: 29
Pomógł: 0
Dołączył: 18.11.2017

Ostrzeżenie: (0%)
-----

Witam, mam takie zapytanie 

[PHP] pobierz, plaintext 
  1. $profil = $_GET['profil'];
  2.  
  3. $fotka = $_GET['fotka'];
  4.  
  5.  
  6. if(strlen($profil) <= 15 && strlen($fotka) <=4){
  7.  
  8. 	$stmt = $pdo->prepare("SELECT * FROM profil WHERE id = :id"); 
  9. 	$stmt->bindParam(':id', $profil, PDO::PARAM_INT);
  10. 	$stmt->execute(); 
  11. 	$kod = $stmt->fetch();
  12.  
  13. }
[PHP] pobierz, plaintext


i zauwazyłem, ze nie ma roznicy czy zmienie PARM_STR na INT. jak zmienna profil = "lol" to wypisze ja z bazy, a jak nazywa sie 222 to również wypisze. Co robię nie tak i jak zrobić żeby to filtrowanie zaczęło wypisywać mi tylko inty?
Go to the top of the page
+Quote Post
viking
post 6.02.2018, 15:04:29
Post #2





Grupa: Zarejestrowani
Postów: 6 365
Pomógł: 1114
Dołączył: 30.08.2006

Ostrzeżenie: (0%)
-----

Nie wiem czego oczekujesz ale jedyne co to robi, to konwertuje bool na long. Rzutuj to na int $profil = (int) $_GET['profil']; albo zrób poprawną walidację.


--------------------
Odpowiedzi na często zadawane pytania:
Konfiguracja serwera Apache + PHP 7 pod Windows | Kodowanie znaków na stronach www | PHPTAL w Zend Framework | Programowanie obiektowe w PHP | PDO uniwersalnym sposobem na obsługę baz danych | Kurs PHP (część 1): Podstawowy opis języka
Go to the top of the page
+Quote Post
Pyton_000
post 6.02.2018, 15:06:25
Post #3





Grupa: Zarejestrowani
Postów: 8 068
Pomógł: 1414
Dołączył: 26.10.2005

Ostrzeżenie: (0%)
-----

Bidnowanie z tego co pamiętam powoduje że mysql robi castowanie na okreslony typ. Więc wpisując `lol` jako parametr dla INT spowoduje że MySQL zrobi CAST do wartości numerycznej. Ręki nie dam sobie uciąć za to.
Go to the top of the page
+Quote Post
nexxx
post 6.02.2018, 15:08:46
Post #4





Grupa: Zarejestrowani
Postów: 29
Pomógł: 0
Dołączył: 18.11.2017

Ostrzeżenie: (0%)
-----

Dzieki. myslalem, ze to jest do filtrowania zmiennych. Czyli musze robić (int) $_GET['profil'].

A jak zrobic prawidłową walidacje? o co w ogole chodzi?
Go to the top of the page
+Quote Post
viking
post 6.02.2018, 15:14:49
Post #5





Grupa: Zarejestrowani
Postów: 6 365
Pomógł: 1114
Dołączył: 30.08.2006

Ostrzeżenie: (0%)
-----

Warto sobie dodać, ja zawsze zapominam.
https://github.com/php/php-src/blob/a7fe257...pdo_stmt.c#L305

https://prophp.pl/advice/show/25/jak_zabezp...ql_injection%3F
Akurat w tym wypadku rzutowanie wystarczy ale możesz sprawdzić np regexpem czy podana wartość to [1-9][0-9]*



--------------------
Odpowiedzi na często zadawane pytania:
Konfiguracja serwera Apache + PHP 7 pod Windows | Kodowanie znaków na stronach www | PHPTAL w Zend Framework | Programowanie obiektowe w PHP | PDO uniwersalnym sposobem na obsługę baz danych | Kurs PHP (część 1): Podstawowy opis języka
Go to the top of the page
+Quote Post
« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Wersja Lo-Fi Aktualny czas: 19.04.2024 - 00:39
Powered By IP.Board © 2024  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn