Forum PHP.pl

Forum PHP.pl > Forum > PHP

[PHP][MySQL] Poprawność bindowania PDO

Darekxp Zobacz profil	14.11.2012, 18:06:01 Post #1
Grupa: Zarejestrowani Postów: 117 Pomógł: 0 Dołączył: 13.05.2007 Ostrzeżenie: (0%)	Witam! Czy taki sposób bindowania jest poprawny/bezpieczny? [PHP] pobierz, plaintext <?php $thisPage = 'offer'; $categoryId = filter(isset($_GET['categoryId'])); $itemId = filter(isset($_GET['itemId'])); ## DISPLAY PAGE ## if($categoryId && $itemId) { ## DATA ## $sql = $pdo->prepare('SELECT id, title_'.$_lang.', text_'.$_lang.', category, promotions, photo FROM '.$thisPage.' WHERE id=:id AND category=:category AND status="1" '); $sql->bindParam(':id', $itemId, PDO::PARAM_INT); $sql->bindParam(':category', $categoryId, PDO::PARAM_INT); $sql->execute(); $data = $sql->fetchAll(); $sql->closeCursor(); $smarty->assign('data',$data); ## DISPLAY TEMPLATE ## $smarty->display('templates/public/'.$thisPage.'_item.tpl'); } else { //dalszy kod } [PHP] pobierz, plaintext

Start new topic

Odpowiedzi (1 - 8)

nospor Zobacz profil	14.11.2012, 18:19:26 Post #2
Grupa: Moderatorzy Postów: 36 557 Pomógł: 6315 Dołączył: 27.12.2004	Bindujesz dokładnie tak jak każą w manualu - wszystko ok. Czemu uważasz że może to byc niebezpieczne? -------------------- *"Myśl, myśl, myśl..."* - Kubuś Puchatek \|\| *"Manual, manual, manual..."* - Kubuś Programista *"Szukaj, szukaj, szukaj..."* - Kubuś Odkrywca \|\| *"Debuguj, debuguj, debuguj..."* - Kubuś Developer

viking Zobacz profil	14.11.2012, 18:29:02 Post #3
Grupa: Zarejestrowani Postów: 6 378 Pomógł: 1116 Dołączył: 30.08.2006 Ostrzeżenie: (0%)	Chyba że $_lang to jakiś $_REQUEST['lang'] -------------------- Odpowiedzi na często zadawane pytania: Konfiguracja serwera Apache + PHP 7 pod Windows \| Kodowanie znaków na stronach www \| PHPTAL w Zend Framework \| Programowanie obiektowe w PHP \| PDO uniwersalnym sposobem na obsługę baz danych \| Kurs PHP (część 1): Podstawowy opis języka

nospor Zobacz profil	14.11.2012, 18:33:10 Post #4
Grupa: Moderatorzy Postów: 36 557 Pomógł: 6315 Dołączył: 27.12.2004	No ale to już nie jest BINDOWANIE a autor wyraźnie się pyta o bindowanie -------------------- *"Myśl, myśl, myśl..."* - Kubuś Puchatek \|\| *"Manual, manual, manual..."* - Kubuś Programista *"Szukaj, szukaj, szukaj..."* - Kubuś Odkrywca \|\| *"Debuguj, debuguj, debuguj..."* - Kubuś Developer

Darekxp Zobacz profil	14.11.2012, 22:06:04 Post #5
Grupa: Zarejestrowani Postów: 117 Pomógł: 0 Dołączył: 13.05.2007 Ostrzeżenie: (0%)	Od ok tygodnia uczę się OOP i jak mam jakieś wątpliwości to wole zapytać na forum, niż robić błędy. Zmienna $_lang = filter($_GET['lang']);

zegarek84 Zobacz profil	14.11.2012, 22:23:11 Post #6
Grupa: Zarejestrowani Postów: 1 332 Pomógł: 294 Dołączył: 12.10.2008 Skąd: Olkusz Ostrzeżenie: (0%)	zapytanie select nie powinno być zależne od parametru get\|post - na jego podstawie możesz ustalić/posklejać zapytanie ale nie na żywca, tak nie może być, reszta bindowania poprawnie i możesz tam wsadzać bindując nawet parametry z get i post... -------------------- Jeśli twoja ręka rusza do przodu powstrzymaj swój gniew; gdy wyprzedza cię twój gniew - wycofaj rękę. zegarek84

Darekxp Zobacz profil	15.11.2012, 14:15:58 Post #7
Grupa: Zarejestrowani Postów: 117 Pomógł: 0 Dołączył: 13.05.2007 Ostrzeżenie: (0%)	Czyli lepiej zrobić to np tak: ? [PHP] pobierz, plaintext <?php if($_lang == 'en') { $sql = $pdo->prepare('SELECT id, title_en, text_en, category, promotions, photo FROM '.$thisPage.' WHERE id=:id AND category=:category AND status="1" '); } else { $sql = $pdo->prepare('SELECT id, title_pl, text_pl, category, promotions, photo FROM '.$thisPage.' WHERE id=:id AND category=:category AND status="1" '); } [PHP] pobierz, plaintext

zegarek84 Zobacz profil	15.11.2012, 15:52:51 Post #8
Grupa: Zarejestrowani Postów: 1 332 Pomógł: 294 Dołączył: 12.10.2008 Skąd: Olkusz Ostrzeżenie: (0%)	tak, ale żeby kod był czytelniejszy to możesz określić sam $_lang na if'ach i potem go podpiąć, jeśli tych języków miałbyś masę, to mógłbyś sprawdzić, czy język z tego get'a znajduje się w tablicy, jeśli nie to jakiś defaultowy (w ten sposób także się ochronisz przed niechcianymi wartościami) [PHP] pobierz, plaintext $_lang = 'pl'; $temp = isset($_GET['lang'])?strtolower($_GET['lang']):''; if($temp === 'en') $_lang = $temp; $sql = $pdo->prepare('SELECT id, title_'.$_lang.', text_'.$_lang.', category, promotions, photo FROM '.$thisPage.' WHERE id=:id AND category=:category AND status="1" '); [PHP] pobierz, plaintext po prostu popracuj jeszcze trochę nad czytelnością oraz byś łatwo mógł modyfikować kod w jak najmniejszej liczbie miejsc... Ten post edytował zegarek84 15.11.2012, 16:05:04 -------------------- Jeśli twoja ręka rusza do przodu powstrzymaj swój gniew; gdy wyprzedza cię twój gniew - wycofaj rękę. zegarek84

Darekxp Zobacz profil	17.11.2012, 18:56:08 Post #9
Grupa: Zarejestrowani Postów: 117 Pomógł: 0 Dołączył: 13.05.2007 Ostrzeżenie: (0%)	Sprawdzanie języka mam zrobiony. No ale chyba trochę odbiegamy od tematu, co chyba nie do końca jest wskazane ;p Dzięki za pomoc:) [PHP] pobierz, plaintext $_lang = filter($_GET['lang']); $_siteLang = array('pl','en'); if(!in_array($_lang,$_siteLang)) { header('Location: /pl/'); } [PHP] pobierz, plaintext

« Następny starszy · PHP · Następny nowszy »

Reply to this topic

Start new topic

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Wersja Lo-Fi

Aktualny czas: 27.06.2025 - 22:34

Powered By IP.Board © 2025 IPS, Inc.
All changes by PHP.pl Administrators

Hosting zapewnia

NQ.pl hosting, trac, svn