Вы не зашли.
Главная » PHP » Обращение к Бд
#1. WebGraf Off (1)
Участник
2009.12.08 16:04
mysql_query("SELECT `id` FROM `files` WHERE `id`='$d' ;");
или
mysql_query('SELECT `id` FROM `files` WHERE `id`="'.$d."' ');
со стороны защиты как полагается?
Добавлено спустя   7 минут  9 секунд:
При условии что $id передается гет или пост способом
#2. DarkDaNTe Off (11)
Участник
2009.12.08 18:06
никакая. У тебя не та переменная в запросе, которую ты указывал. ($id)
И вообще при чем защита в "" или '' кавычках?
#3. Fuelen Off (5)
Участник
2009.12.08 18:06
WebGraf написал:
mysql_query("SELECT `id` FROM `files` WHERE `id`='$d' ;");
или
mysql_query('SELECT `id` FROM `files` WHERE `id`="'.$d."' ');
со стороны защиты как полагается?
Добавлено спустя   7 минут  9 секунд:
При условии что $id передается гет или пост способом
Если фильтрировал значение переменной перед запросом, то опасности иньекции нет.
Отредактировано Fuelen (2009.12.08 18:06)
на хую вас вертів
#4. НЕЗНАЙКА Off (11)
Участник
2009.12.08 19:07
У тебя и так ничего не пройдетlol Запрос неверный. Фильтр abs($_GET['d']) и не беспокойся
ДАУН-Данная Аватара Унаследована Незнайкой
#5. WebGraf Off (1)
Участник
2009.12.08 19:07
это только пример. подставьте другую переменную
ну к примеру так
mysql_query("SELECT `name` FROM `files` WHERE `id`='".mysql_real_escape_string$_GET['d']."' ;");
#6. Gemorroj Off (107)
Administrator
2009.12.08 20:08
очень желательно иметь переменную с ресурсом коннекта к бд еще.
mysql_query("SELECT `name` FROM `files` WHERE `id`='" . mysql_real_escape_string($_GET['d']) . "' ;");
вполне достаточно
#7. WebGraf Off (1)
Участник
2009.12.08 23:11
Gemorroj написал:
очень желательно иметь переменную с ресурсом коннекта к бд еще.
mysql_query("SELECT `name` FROM `files` WHERE `id`='" . mysql_real_escape_string($_GET['d']) . "' ;");
вполне достаточно
а если такой же код но с одинарными кавычками?
"переменную с ресурсом коннекта" - а что оно меняет?
Отредактировано WebGraf (2009.12.08 23:11)
#8. Morgan Off (10)
Участник
2009.12.08 23:11
А чем вам
mysql_query("SELECT name FROM table WHERE `id`=".intval($_GET['id']))
Натан ротшильд :
Кто владеет информацией, тот владеет миром
#9. WebGraf Off (1)
Участник
2009.12.08 23:11
НЕЗНАЙКА написал:
abs
Я не говорил что переменная $d числовая
id навел просто как пример. может ведь использоватся и name files ... короче все что угодно
Я просто хотел более глобально рассмотреть ситуацию, а не конкретный пример
Добавлено спустя   2 минуты  19 секунд:
Morgan написал:
А чем вам
mysql_query("SELECT name FROM table WHERE `id`=".intval($_GET['id']))
смотрите мой ответ Незнайке
Отредактировано WebGraf (2009.12.08 23:11)
#10. WebGraf Off (1)
Участник
2009.12.08 23:11
на счет фильтрации, то все переменные в запросах фильтруются у меня , если стринг то  htmlspecialchars и mysql_real_escape_string, если числовое то intval
Страниц: 1 2 Все
Главная
WEB
PunBB Mod v0.6.2
0.016 s