Меню
Что нового?

DELETE! При удалении статьи нужно удилить комментарии статьи!

grigori

grigori

( ͡° ͜ʖ ͡°)
Команда форума
обмен предполагает предоставление чего-то взамен получаемого, не вижу предложения чего-то взамен решения
 
slider23

slider23

Новичок
Главное правило - не доверять пользовательским данным, т.е. тому, что содержится в $_GET, $_POST и $_COOKIE. Всегда приводите данные в нужный вам тип.
Если там должны быть айдишники - приводите их в целые числа явным (int)
Оборачивайте любые переменные, которые вы вставляете в mysql-запрос в mysql_real_escape_string()

http://ru.wikipedia.org/wiki/Внедрение_SQL-кода
http://www.troyhunt.com/2013/07/everything-you-wanted-to-know-about-sql.html
 
Basior

Basior

Новичок
slider23 написал(а):
Главное правило - не доверять пользовательским данным, т.е. тому, что содержится в $_GET, $_POST и $_COOKIE. Всегда приводите данные в нужный вам тип.
Если там должны быть айдишники - приводите их в целые числа явным (int)
Оборачивайте любые переменные, которые вы вставляете в mysql-запрос в mysql_real_escape_string()

http://ru.wikipedia.org/wiki/Внедрение_SQL-кода
http://www.troyhunt.com/2013/07/everything-you-wanted-to-know-about-sql.html
Нажмите для раскрытия...
Не думаю что sql-атаки как-то могут навредить, так как использую PDO + исключения...
Absinthe написал(а):
Нет. Суть - общение.
Нажмите для раскрытия...
Вообще-то если бы Вы были внимательней, то это цытата из правил этого форума...
grigori написал(а):
потому что форум создан для другого
Нажмите для раскрытия...
 
Фанат

Фанат

oncle terrible
Команда форума
slider23 написал(а):
Главное правило - не доверять пользовательским данным
Нажмите для раскрытия...
Открою тебе маленький секрет.
Весь этот фонтан мудрости - одно большое заблуждение.

Добавлять переменные в запрос надо только через плейсхолдеры.
Источник же данных не имеет ни малейшего значения.
 
Vladson

Vladson

Сильнобухер
одно большое заблуждение
Нажмите для раскрытия...
Замечу что 99% "истин" о РНР это такие самые заблуждения. Большинство из них копипасты из умных источников, но в оригинале они были сильно упрощены, но копипаста так разошлась что про текст остался а контекст пропал более чем полностью...
 
Фанат

Фанат

oncle terrible
Команда форума
Vladson написал(а):
Замечу что 99% "истин" о РНР это такие самые заблуждения. Большинство из них копипасты из умных источников, но в оригинале они были сильно упрощены, но копипаста так разошлась что про текст остался а контекст пропал более чем полностью...
Нажмите для раскрытия...
Не соглашусь.
Большинство источников изначально так и были тупыми.
Другое дело, что пхп-мир стоит на копипасте, как тот слон на черепахе - чуть менее, чем полностью.
 
Vladson

Vladson

Сильнобухер
Большинство источников изначально так и были тупыми.
Нажмите для раскрытия...
Да вот не соглашусь... Они да, тупые, но когда они были озвучены раннее, они были в контексте шутки, а вот когда их скопипастили, то их уже выдавали как за "неоспоримую истину"
 
slider23

slider23

Новичок
Добавлять переменные в запрос надо только через плейсхолдеры.
Нажмите для раскрытия...
Да, ты прав.

Нет. Суть - общение.
Нажмите для раскрытия...
Вот поэтому, наверное, большинство разбирающихся людей первым делом идут на stackoverflow или иностранные форумы - там можно получить ответ по существу вопроса, а у нас - увы, только общение.
 
Фанат

Фанат

oncle terrible
Команда форума
slider23 написал(а):
stackoverflow или иностранные форумы - там можно получить ответ по существу вопроса
Нажмите для раскрытия...
Разбирающиеся очень редко задают вопросы на форумах.
А вот начинающему прямолинейный ответ, данный без понимания контекста, без "общения" - пойдет только во вред.
На том же стаковерфлое принято отвечать буквально, не обращая внимание на очевидный идиотизм вопроса.
 
Basior

Basior

Новичок
Хех, ВСПОМНИЛ нашел оптимальный вариант.
Осталось его реализовать!
Хотя бы подказали йо-ма-йо, или тут про транзакции никто не знает...
 
c0dex

c0dex

web.dev 2002-...
Команда форума
Партнер клуба
Дааа, транзакции тут самое то...
 
Redjik

Redjik

Джедай-мастер
Basior написал(а):
Хех, ВСПОМНИЛ нашел оптимальный вариант.
Осталось его реализовать!
Хотя бы подказали йо-ма-йо, или тут про транзакции никто не знает...
Нажмите для раскрытия...
А еще в mysql есть полнотекстовый поиск, с 5.6 даже в innoDb...
Мы же начали перечислять фичи mysql, да?
Или это все еще как то связано с темой?
 
Фанат

Фанат

oncle terrible
Команда форума
Basior написал(а):
В каком смысле [это пять!]?
Нажмите для раскрытия...
Это называется "сарказм".
Ты написал в предыдущем сообщении чудовищную глупость (про ПДО), которая, в сочетании с твоей заносчивостью, выглядит очень забавно.

Вот ей-богу, если бы ты вел себя поскромнее, вместо выкатывания претензий окружающим и громких заявлений вежливо спрашивал, как правильно сделать и признавал свои ошибки - куда больше толку от этого топика было бы

Почитай про инъекции (там, правда, длинно - не осилишь)
И про то как правильно пользоваться PDO
 
Последнее редактирование:
Redjik

Redjik

Джедай-мастер
Ну не знаю, даже в прошлом веке знали, что MyIsam - non-transactional storage
 
Войдите или зарегистрируйтесь для ответа.
Сверху