mysql_escape_string for Oracle ?

Ganer · 30 Окт 2002

mysql_escape_string for Oracle ?

Кто как эскейпит строки для оракла ? mysql_escape_string не подхдит

Ganer.

Voxus · 30 Окт 2002

trent · 30 Окт 2002

эскейпить не надо... просто все вставлять через
[m]OCIBindByName[/m] и брать через
[m]OCIDefineByName[/m]

Ganer · 30 Окт 2002

а для ora* команд (от 7-го оракла) ?

trent · 30 Окт 2002

а доке посмотреть слабо?
OraBind

Ganer · 30 Окт 2002

сори чо-то не заметил. а как даты биндить через to_date ?

и нет у кого другого метода ? что мне бинд не нравится ...

trent · 30 Окт 2002

PHP:

$sql = "select * from table where dateVar=to_date(:dateBegin, 'DD.MM.YYYY HH24:MI:SS')";

затем биндишь переменную :dateBegin...

trent · 30 Окт 2002

кстати советую перейти на OCI функции

Ganer · 30 Окт 2002

а это спасет от SQL injection ?

"select * from table where login=:login";
$login=" xxx' or 1=1 " ;

trent · 30 Окт 2002

а как ты думаешь?
Когда биндишь php отдает Oracle'у уже заэскейпенные значения

Ganer · 30 Окт 2002

да я вот собрался переписывать задачу и думаю как покрасивей проверку переменных сделать ну и на OCI за одно перейду.

aloner · 2 Ноя 2002

Бинды спасают на 100% от sql-injection, если не используешь их значения в dynamic sql.

si · 2 Ноя 2002

если не используешь их значения в dynamic sql

Это как ?

aloner · 3 Ноя 2002

Самый простой пример:

Код:

PROCEDURE do_something (p_sql VARCHAR2) IS
BEGIN
	EXECUTE IMMEDIATE p_sq;
END do_something;

При вызове процедуры через бинд есть риск sql-injection.