 mysqli + sql_injection, Parametry |
| mysqli + sql_injection, Parametry |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 52 Pomógł: 0 Dołączył: 10.06.2009 Ostrzeżenie: (0%) 
 |
Witam
Mam pewien dylemat. Robiac projekt chce zastosowac mysqli (ze wzgledu na szybkosc ). Jednak nie ma jakiegos manuala do tej klasy. Z tego co sie orientuje nie ma on opcji takich jak PDO w ktorej podpinamy parametr i okreslamy go jako string albo int - a nawet jesli jest to wydluza on tylko prace naszego skryptu(spada wydajnosc) jak sie najbardziej oplaca obronic przed sql_injection: 1. napisac wlasna funkcje ktora bedziemy uzywac przy kazdym $_GET i $_POST ktore dolacza do bazy. przyklad $_GET[zmienna]=napraw($_GET[zmienna],int); $_GET[zmienna]=napraw($_GET[zmienna],string); 2. korzystac tylko z php i np przy stringach robic: mysql_real_escape_string($_POST['zmienna']); 3. napisac do klasy mysqli dodatkowa funkcje ktora by robila to co w punkcie 1. Jesli jest jakies lepsze wyjscie prosilbym o jego przedstawienie |
 |
 
|
vadergb mysqli + sql_injection 11.06.2009, 12:22:22 
Spawnm //mysql_real_escape_string($_POST['zmienn... 11.06.2009, 12:26:56 daniel1302 Ja bym preferował rozwiązanie 3. Sam w m... 11.06.2009, 12:29:35 vadergb hmm w mysqli jest cos takiego:
[PHP] pobierz, pl... 11.06.2009, 20:48:51 
erix http://dealnews.com/developers/php-mysql.html 12.06.2009, 14:32:03   |
|
Aktualny czas: 22.08.2025 - 16:35 |
