sql injection, sql injection linki Opcje

[seba199696]

Siema da mi ktos jakieś linki (najlepiej z Polską treścią) o sql injection. Chciałbym się o tym dowiedzieć, bylem na Temat: SQL Injection Insertion lecz ktoś cos pisze a drugi ze to nic nie daje. Oczywiście nie chodzi mi o pierwsze lepsze z google tylko o sprawdzone tresci. Z góry dzięki! Pozdrawiam!

Ten post edytował seba199696 12.11.2011, 01:04:40

[CuteOne]

Zamiast czytać stosy poradników jak się bronić przed SI użyj PDO, który uchroni cię w 99,99999999%(dałbym 100% ale wiadomo nic nie gwarantuje takego poziomu bezpieczeństwa) przed tego typu atakami

[jackraymund]

PDO? A jakiegoś linka zapodałbyś nam?
@down
gdzie jest guziczek "pomógł?"

Ten post edytował jackraymund 12.11.2011, 14:15:50

[IceManSpy]

http://php.net/manual/en/book.pdo.php
http://pl.wikibooks.org/wiki/PHP/Biblioteka_PDO

[pyro]

http://phpmagazyn.pl/

jest tam cały artykuł o SQL Injection. Bardzo przystępnie wytłumaczony

[seba199696]

Nom A jak mam zapytanie PDO to dlaczego nie działa WHERE %%? Wiecie o co mi chodzi

Ten post edytował seba199696 12.11.2011, 14:35:23

[pyro]

Nom A jak mam zapytanie PDO to dlaczego nie działa WHERE %%? Wiecie o co mi chodzi

Chyba nikt nie wie o co Ci w tym momencie chodzi.

[seba199696]

[PHP] pobierz, plaintext 
$stmt = $pdo -> query("SELECT * FROM `tebela` WHERE `title` = '%teks%'");
[PHP] pobierz, plaintext 

NP. O wyszukanie tekstu zaczynającego sie na teks

Ten post edytował seba199696 12.11.2011, 14:43:43

[IceManSpy]

BO w zapytaniu ma być like, a nie = .

[seba199696]

Jeszcze jedno pytanko

Jeśli używam bindowania to jak mam użyc LIKE %% ?

[PHP] pobierz, plaintext 
$stmt = $pdo -> prepare('SELECT `title` FROM `tabela` WHERE `title` LIKE :title'); // 2
                        $stmt -> bindValue(':title', $_GET['title'], PDO::PARAM_STR);
                        $stmt -> execute(); // 3
[PHP] pobierz, plaintext 

Ten post edytował seba199696 13.11.2011, 11:00:15

[IceManSpy]

Przykład znaleziony w google:

[PHP] pobierz, plaintext 
$query = $database->prepare('SELECT * FROM table WHERE column LIKE ?');
$query->execute(array('value%'));
[PHP] pobierz, plaintext 

W Twoim przypadku pewno będzie:

[PHP] pobierz, plaintext 
$query->execute(array($_GET['title'].'%'));
[PHP] pobierz, plaintext 

Ten post edytował IceManSpy 13.11.2011, 11:13:58

[seba199696]

Nie rozumiem.

[IceManSpy]

Spróbuj tak:

[PHP] pobierz, plaintext 
    $query = $database->prepare('SELECT `title` FROM `tabela` WHERE `title` LIKE ?');
        $query->execute(array($_GET['title'].'%'));
[PHP] pobierz, plaintext 

[seba199696]

A jak bym chciał zrobić więcej warunków?

Przecież to chyba nie binduje...

Znalazłem!

[PHP] pobierz, plaintext 
 
<?php
// Get the keyword from query string
$keyword = $_GET['keyword'];
// Prepare the command
$sth = $dbh->prepare('SELECT * FROM `users` WHERE `firstname` LIKE :keyword');
// Put the percentage sing on the keyword
$keyword = "%".$keyword."%";
// Bind the parameter
$sth->bindParam(':keyword', $keyword, PDO::PARAM_STR);
?>
 
[PHP] pobierz, plaintext 

Dzieki i pozdrawiam! temat do zamkniecia!

Ten post edytował seba199696 13.11.2011, 12:45:45

[viking]

Możesz też od razu to puścić do zapytania:

Kod

$sth->execute(array('key' => "%$keyword%"));

A w sumie nazwane parametry mają bardziej sens kiedy operujesz na np skomplikowanych złączeniach gdzie na krzyż idą zapytania o identyczne dane. Dla codziennego użytku szybciej jest korzystać z ?

Opis PDO