WAP Мастер Форум
- Вы не зашли.
title
Description
Body
#1 2009.12.08 16:55
Обращение к Бд
mysql_query("SELECT `id` FROM `files` WHERE `id`='$d' ;");
или
mysql_query('SELECT `id` FROM `files` WHERE `id`="'.$d."' ');
со стороны защиты как полагается?
Добавлено спустя 7 минут 9 секунд:
При условии что $id передается гет или пост способом
Неактивен
#3 2009.12.08 18:54
Re: Обращение к Бд
WebGraf написал:
mysql_query("SELECT `id` FROM `files` WHERE `id`='$d' ;");
или
mysql_query('SELECT `id` FROM `files` WHERE `id`="'.$d."' ');
со стороны защиты как полагается?
Добавлено спустя 7 минут 9 секунд:
При условии что $id передается гет или пост способом
Если фильтрировал значение переменной перед запросом, то опасности иньекции нет.
Отредактировано Fuelen (2009.12.08 18:55)
на хую вас вертів
Неактивен
Запрос неверный. Фильтр abs($_GET['d']) и не беспокойся#6 2009.12.08 20:39
Re: Обращение к Бд
очень желательно иметь переменную с ресурсом коннекта к бд еще.
mysql_query("SELECT `name` FROM `files` WHERE `id`='" . mysql_real_escape_string($_GET['d']) . "' ;");
вполне достаточно
Неактивен
#7 2009.12.08 23:08
Re: Обращение к Бд
Gemorroj написал:
очень желательно иметь переменную с ресурсом коннекта к бд еще.
mysql_query("SELECT `name` FROM `files` WHERE `id`='" . mysql_real_escape_string($_GET['d']) . "' ;");
вполне достаточно
а если такой же код но с одинарными кавычками?
"переменную с ресурсом коннекта" - а что оно меняет?
Отредактировано WebGraf (2009.12.08 23:36)
Неактивен
#9 2009.12.08 23:33
Re: Обращение к Бд
НЕЗНАЙКА написал:
abs
Я не говорил что переменная $d числовая
id навел просто как пример. может ведь использоватся и name files ... короче все что угодно
Я просто хотел более глобально рассмотреть ситуацию, а не конкретный пример
Добавлено спустя 2 минуты 19 секунд:
Morgan написал:
А чем вам
mysql_query("SELECT name FROM table WHERE `id`=".intval($_GET['id']))
смотрите мой ответ Незнайке
Отредактировано WebGraf (2009.12.08 23:35)
Неактивен