О безопасности

[Фанат]

Что здесь можно вставить, что-бы что-то увидеть?

увидеть, можно, например, пароль.
Что конкретно можно вставить, я, извини, писать не буду

 

[Фанат]

Как пишут (цитата) с другого форума:.

Никогда больше не ходи на этот форум. Иначе козленочком станешь и за жизнь твою не дадут и ломаного цента.
При том, что сам я не поклонник "монстров", правды в приведённой тобой цитате - примерно 2%

 

[tarweb]

В-третьих, ПДО все равно недостаточно для защиты.

Можно какое-то подтверждение

 

[tarweb]

увидеть, можно, например, пароль.
Что конкретно можно вставить, я, извини, писать не буду

Потому что в моем примере Вы ничего не вставите, что-бы что-то увидеть

 

[Фанат]

Потому что в моем примере Вы ничего не вставите, что-бы что-то увидеть

Давай ты не будешь спорить?

У тебя, кажется, была неразрешимая проблема с num_rows
ты с ней справился?

 

[tarweb]

А зачем тогда форум
Как известно - истина рождается в споре

 

[Фанат]

))
нет.
во-первых, не в споре, а в дискуссии
во-вторых, дискуссия возможна между равными. А беспомощные наскоки неграмотного школьника я при всем желании даже спором назвать не могу
в-третьих, рождаться тут нечему - истина неизвестна только тебе.

Понимаешь, никому тут неинтересно с тобой спорить. Хочешь учиться - учись. Хочешь спорить - иди куда-нибудь ещё.

 

[tarweb]

Извините, если Вас обидел
Но Вы сами уклоняетесь от вопросов

 

[Фанат]

От осмысленных - не уклоняюсь.
Если я вижу вопрос, который продиктован практической проблемой, а не выковырян из носа от неграмотности - я на него отвечаю.
Если ты вдруг не заметил.

 

[tarweb]

В-третьих, ПДО все равно недостаточно для защиты.

Можно какое-то подтверждение

Где тут глупый или неграмотный вопрос

 

[Фанат]

Этот вопрос не я, этот вопрос ты сам проигнорировал.
У тебя есть запрос,

"select * from $db_admin where login='$_SESSION[admin_login]'"

перепиши его на PDO, чтобы все переменные попадали в него через плейсхолдеры.

Если бы ты сначала попытался, а потом пришел сюда спрашивать - тогда это был бы умный вопрос.
И я настоятельно рекомендую тебе впредь думать над своими вопросами перед тем, как их писать.

 

[tarweb]

Да, не поверите, я этого очень хочу, но нету сейчас времени на переучивание
Нужно, пока временное решение безопастности

 

[Фанат]

Для временного PDO сгодится.
Все случаи, которые не покрываются prepared statements, описаны здесь: Как правильно работать с PDO?

 

[tarweb]

Не понял.
Во-первых, количество строк, которые вернул разпрос, бывает нужно ОЧЕНЬ редко. Максимум - 1-2 раза в год.
.

Касаемо защиты и num_rows в PDO
Если я хочу, после моего запроса, проверить количество результатов для полной защиты

$r=$db->query ("select * from $db_admin where login='$_SESSION[admin_login]' ") or die ("mySQL error 1");
$f=$db->fetcharray ($r);

if ( $db->numrows($r) == '1' )

Как такую проверку сделать с PDO

Писать свою обертку к PDO?

 

[Фанат]

1. Не вижу здесь ничего специфичного для PDO. Этот говнозапрос ты мог бы выполнить хоть через mysql_query с тем же успехом. Если ты вдруг вообразил, что PDO защищает от инжекций неким магическим образом, просто по факту своего присутствия, то вынужден тебя разочаровать
2. Количество тебе тут зачем?

 

[tarweb]

2. Количество тебе тут зачем?

Если кто-то попытается модифицировать запрос, что-бы вывести все записи с даной таблицы

 

[Фанат]

о господи.
не нужны тебе все эти детские игрушки. ЗАЩИТА НЕ В ЭТОМ.

Сделай нормальный, безопасный запрос.

 

[tarweb]

Спасибо!

 

[Фанат]

Ты почему-то все время пытаешься идти в обход, вместо того, чтобы делать правильно.
при этом у тебя получается ДОЛЬШЕ. Если закрыть ОДНУ дырку в запросе, то любые инъекции не пройдут.
Ты же оставляешь сам запрос нараспашку, и потом пытаешься закрыться от отдельных конкретных инхекций.
при том, что дырка одна, а способов её эксплуатировать - множество.