[DIY][PHP]funkcja sprintf(), Zabezpieczenie zapytania SQL Opcje

[XhtmlProject]

Witajcie.
Pytanie bardzo krótkie - jak mogę zabezpieczyć takie zapytanie:

[SQL] pobierz, plaintext 
$query = "INSERT INTO b (a, b, c, d, e, f)
    VALUES ('$a', '$b', '$c', '$d', '$e', NOW())";
[SQL] pobierz, plaintext 

W okolicznościach bardziej mi znanych używam jej następująco:

[SQL] pobierz, plaintext 
$query = sprintf("SELECT a FROM b WHERE c = '%s' ",
mysql_real_escape_string($zmienna));
[SQL] pobierz, plaintext 

z góry wielkie dzięki.

Powód edycji: [thek]: Bo na to temat zasługuje z racji podejścia autora.

[Crozin]

http://pl.php.net/manual/en/pdo.prepared-statements.php

[XhtmlProject]

http://pl.php.net/manual/en/pdo.prepared-statements.php

W moim pytaniu nigdzie nie mogę się doszukać "poproszę o odnośnik do strony na której .... .. . . ."
Sorry ale za wklejanie odnośników nie naciskam "Pomógł" zakładam że idąc na łatwiznę na to właśnie liczyłeś .. ... . Niestety ..

Hołewer - odpowiedź już mam.

[PHP] pobierz, plaintext 
$query = sprintf("INSERT INTO individuals (username, email) VALUES ('%s', '%s')", 
mysql_real_escape_string($username), mysql_real_escape_string($email));
[PHP] pobierz, plaintext 

Ten post edytował XhtmlProject 22.06.2011, 12:12:21

[Mackos]

W moim pytaniu nigdzie nie mogę się doszukać "poproszę o odnośnik do strony na której .... .. . . ."
Sorry ale za wklejanie odnośników nie naciskam "Pomógł" zakładam że idąc na łatwiznę na to właśnie liczyłeś .. ... . Niestety ..

I tu się niestety mylisz.
To co Ci wysłał crozin, to była pełna odpowiedź na Twoje pytanie, że nie chce Ci się wejść w link i poczytać
to już twoja sprawa.
Ale z bulwersem jeszcze do osoby która Ci pomaga... to już nietakt.

[nospor]

Ale z bulwersem jeszcze do osoby która Ci pomaga... to już nietakt.

Niesamowicie łagodnie to nazwałeś - nadajesz się na dyplomatę Zachowanie XhtmlProject zasługuje na bardziej dosadne określenie.

Sorry ale za wklejanie odnośników nie naciskam "Pomógł"

Litości...

Hołewer

Litości x 2 ....
Całokształt : litości x 3

ps: funkcja sprinf nie ma żadnego związku zabezpieczaniem zapytania.
Nie bulwersuj się więc na przyszłość, jak nie rozumiesz bardziej doświadczonych użytkowników, tylko albo ich wysłuchaj i spróbuj zrozumieć ewentualnie dopytaj, albo przemilcz sprawę i miej nadzieję, że jak "podrośniesz" to zrozumiesz
A już tym bardziej nie posądzaj innych, że lecą na Twoje żałosne POMOGŁ.

Powód edycji: [nospor]:

[XhtmlProject]

To nie ma znaczenia .. To jest forum - nie mylcie go z wyszukiwarką GOOGLE ...
Odnośników mogę sobie poszukać przez Google - na forum liczę "jak większość jego Użytkowników" na pomoc w postaci przykładu.

Wklejenie odnośnika jest czystym LENISTWEM .. Podałem konkretny przykład, liczę na pomoc.

Pomijając ..

Wobec danych liczbowym i dat można używać neutralizujących funkcji sprintf() czy mysql_real_escape_string() jako zabezpieczenia zapytań.
Dzięki temu interpreter PHP zrzutuje ciąg znaków na typ całkowitoliczbowy przy '%d' następnie dołączy wynik rzutowania do zapytania.

Można pisać więcej . Tylko po co ..

[markonix]

To nie ma znaczenia .. To jest forum - nie mylcie go z wyszukiwarką GOOGLE ...
Odnośników mogę sobie poszukać przez Google - na forum liczę "jak większość jego Użytkowników" na pomoc w postaci przykładu.

Wątpię, żeby Google na Twoje pytanie zwróciło Ci linka do metody PDO.
Google szuka po frazach, a nie odpowiada na pytania.

Pomijając ten fakt to jeśli Crozin Ci zaproponował konkretne rozwiązanie, opisane na podanej przez niego stronie to wg Ciebie powinien zaznaczyć całą stronę i skopiować ją tu na forum, żeby mógł liczyć na Twoje "POMÓGŁ"?

[nospor]

To nie ma znaczenia .. To jest forum - nie mylcie go z wyszukiwarką GOOGLE ...
Odnośników mogę sobie poszukać przez Google - na forum liczę "jak większość jego Użytkowników" na pomoc w postaci przykładu.

Wklejenie odnośnika jest czystym LENISTWEM .. Podałem konkretny przykład, liczę na pomoc.

Litości x 4
Crozin podał ci linka do rozwiązania. To nie było lenistwem, to była pomoc. Crozin nie zachował się jak google.
Jeśli tego nie rozumiesz - kłócić się z Tobą nie będę. Uczciwie cię jednak ostrzegam, że następnym razem zostanie ci to "nagrodzone".

Wobec danych liczbowym i dat można używać neutralizujących funkcji sprintf()

Powtarzam to co napisałem wcześniej: sprinf nie ma nic do zabezpieczeń zapytań a już napewno nie na przykładzie który pokazałeś.

Dzięki temu interpreter PHP zrzutuje ciąg znaków na typ całkowitoliczbowy przy '%d' następnie dołączy wynik rzutowania do zapytania.

Tak, w tym sensie ma. Niestety w przykładzie miałeś inny sens, który akurat do zabezpieczenia miał się nijak. Za to "straszny" link, który podał Crozin miał dużo wspolnego z zabezpieczaniem.

[XhtmlProject]

Litości x 4
Crozin podał ci linka do rozwiązania. To nie było lenistwem, to była pomoc. Crozin nie zachował się jak google.
Jeśli tego nie rozumiesz - kłócić się z Tobą nie będę. Uczciwie cię jednak ostrzegam, że następnym razem zostanie ci to "nagrodzone".

Powtarzam to co napisałem wcześniej: sprinf nie ma nic do zabezpieczeń zapytań a już napewno nie na przykładzie który pokazałeś.

Tak, w tym sensie ma. Niestety w przykładzie miałeś inny sens, który akurat do zabezpieczenia miał się nijak. Za to "straszny" link, który podał Crozin miał dużo wspolnego z zabezpieczaniem.

Dobra, poziom obrony 4 latka - w tym sens miał, w tamtym nie miał - w innym może by miał ale przykład był inny więc nie miał sensu ...
Odsyłam raz jeszcze do mojej odpowiedzi.

Pozdrowienia i życzę zmiany sposobu myślenia przy moderacji działu ..

[nospor]

Zgodnie z pewnym powiedzeniem, umywam sie od dalszej dyskusji, bo faktycznie nie ma sensu. Sprawa wyjaśniona, sam sobie udzieliłeś odpowiedzi i to już w poście w którym pytałeś, naprawdę nie wiem po co pisałeś...

[thek]

A ja, abstrahując kompletnie od tego co już napisano, zwróciłbym uwagę, że wpisanie w wyszukiwarce: sql injection prevent, jest niewiarygodnie trudnym wysiłkiem umysłowo-fizycznym (bo trzeba wpisać, klikać, a potem jeszcze czytać i zrozumieć ). Nie wspominając nawet faktu, że w dziale PHP stoi jak byk przypięty wątek SQL Injection/Insertion mający całe 18 stron postów. Dlatego moim zdaniem jakiekolwiek pretensje to może mieć autor do siebie a nie kogokolwiek. Ani nie uzył wyszukiwarki netowej, ani tej na forum. Dlatego chrzanić to... Zgodnie z przysługującymi mi uprawnieniami watek opatrzam tagiem [DIY] i zamykam, bo na to jak najbardziej zasłużył.