Форум: Форум PHPФорум ApacheФорум Регулярные ВыраженияФорум MySQLHTML+CSS+JavaScriptФорум FlashРазное
Новые темы: 0000000
PHP на примерах (2 издание). Авторы: Кузнецов М.В., Симдянов И.В. C++. Мастер-класс в задачах и примерах. Авторы: Кузнецов М.В., Симдянов И.В. MySQL на примерах. Авторы: Кузнецов М.В., Симдянов И.В. PHP. Практика создания Web-сайтов (второе издание). Авторы: Кузнецов М.В., Симдянов И.В. MySQL 5. В подлиннике. Авторы: Кузнецов М.В., Симдянов И.В.
ВСЕ НАШИ КНИГИ
Консультационный центр SoftTime

Форум MySQL

Выбрать другой форум

 

Здравствуйте, Посетитель!

вид форума:
Линейный форум Структурный форум

тема: Безопасный запрос к MySQL Серверу.
 
 автор: G-Style   (12.07.2009 в 13:22)   письмо автору
 
 

Здравствуйте. В книге «PHP в подлиннике» написано, что более безопасно писать запросы к MySQL серверу через функции sprintf или printf, но я не могу понять почему? Производим форматирование строки через эти функции – это, конечно, понятно. Но зачем это делать, если можно просто создать строку и в нее подставить все значения переменных, разве это не то же самое?! Если кто знает, разъясните, пожалуйста. Заранее спасибо.

  Ответить  
 
 автор: Trianon   (12.07.2009 в 14:00)   письмо автору
 
   для: G-Style   (12.07.2009 в 13:22)
 

Вероятно, авторы имели в виду то, что спецификаторы %d и %f защищают от инъекций через соответствующие параметры.
Аналогичного спецификатора для строковых параметров нет.

До некоторой степени такая практика, безусловно, дисциплинирует...

  Ответить  
 
 автор: G-Style   (12.07.2009 в 14:12)   письмо автору
 
   для: Trianon   (12.07.2009 в 14:00)
 

Каким образом защищает от инъекций? Т.е. перед подстановкой просто обработать параметры, но это можно сделать просто без этих функций. А кто-нибудь из авторов здесь бывает? Хотелось бы от них это узнать.

Trianon, спасибо за участие.

  Ответить  
 
 автор: Trianon   (12.07.2009 в 14:19)   письмо автору
 
   для: G-Style   (12.07.2009 в 14:12)
 

Вот для числовых параметров спецификаторы формата и занимаются такой обработкой.

>В книге «PHP в подлиннике» написано,
Вы бы авторов книги указали на случай всякий...

  Ответить  
 
 автор: G-Style   (12.07.2009 в 19:34)   письмо автору
 
   для: Trianon   (12.07.2009 в 14:19)
 

Авторы: Дмитрирй Котеров, Алексей Костарев.
Книга: «PHP в подлиннике»

  Ответить  
 
 автор: Trianon   (12.07.2009 в 20:13)   письмо автору
 
   для: G-Style   (12.07.2009 в 19:34)
 

Так Вы явно промахнулись с муравейником.
Означенные товарищи обитают на forum.dklab.ru

  Ответить  
 
 автор: Guitarist   (13.07.2009 в 07:04)   письмо автору
 
   для: G-Style   (12.07.2009 в 13:22)
 

>Но зачем это делать, если можно просто создать строку и в нее подставить все значения переменных

G-Style, Вы правы, это делать не обязательно, я бы даже сказал - не желательно если речь идет о запросах в БД. От инъекций это не защитит, а вот "рабочесть" SQL-кода навернуть может.
Есть специальные средства типа: mysql_escape_string и mysql_real_escape_string.

  Ответить  
Rambler's Top100
вверх

Rambler's Top100 Яндекс.Метрика Яндекс цитирования