PHP ir SQL > PHP ir SQL - Klausimai ir pagalba

Kintamųjų apsaugojimas

(1/1)

Noyz:

--- Kodas: ---$slapyvardis = strip_tags($_POST['slapyvardis']);
$slaptazodis = strip_tags($_POST['slaptazodis']);
--- Baigti kodą ---

Radau, kad tai padeda nuo mysql injekcijos, bet ar pakankamai? Ar yra geresnių būdų?

Lukas:
jei naudosi pdo bind'us tai nereikes tau rupintis del sql injections.

http://stackoverflow.com/questions/7615217/how-php-mysqli-prepared-statements-bind-params-protect-against-sql-injecti


--- Kodas: ---<?php
/* Execute a prepared statement by binding PHP variables */
$calories = 150;
$colour = 'red';
$sth = $dbh->prepare('SELECT name, colour, calories
    FROM fruit
    WHERE calories < :calories AND colour = :colour');
$sth->bindParam(':calories', $calories, PDO::PARAM_INT);
$sth->bindParam(':colour', $colour, PDO::PARAM_STR, 12);
$sth->execute();
?>

--- Baigti kodą ---
http://php.net/manual/en/pdostatement.bindparam.php

Noyz:
Pas mane login'as atrodo taip:


--- Kodas: --- $query = dbConnect()->prepare("SELECT slapyvardis, slaptazodis FROM zaidejai WHERE slapyvardis=:slapyvardis AND slaptazodis=:slaptazodis");
$query->bindParam(':slapyvardis', $_POST['slapyvardis']);
$query->bindParam(':slaptazodis', $_POST['slaptazodis']);
$query->execute();
--- Baigti kodą ---

O bindai tik tam ir skirti, kad apsaugot? Ar dar turi kažkokią reikšmę? Sunkokai suprantu aš iš php.net

Lukas:
as bent jau pats juos suprantu kaip tam, kad atskirti kur yra kintamieji sql uzklausos, kur dumenys kurie yra itraukiam i i sql uzklausa. tai is esmes taip, tai sprendzia saugumo klausima sql injection'u. siaip dazniausiai naudoju orm'a ne pdo. bet ten pns viskas

Navigacija

[0] Žinučių sąrašas

Eiti į pilną versiją