| |
|
|
| | назрел такой вопрос.
проверяя данные рег.выражением, нужно ли дополнительно обрабатывать при подстановке в sql запрос?
как я понимаю, если проверять рег.выражением, то все символы, которые не попадают в него, воспринимаются как несоответствие и запрос не будет выполнен. | |
| |
|
|
| |
|
|
| |
для: Slo_Nik
(04.11.2009 в 12:15)
| | | Это от регурярного выражения зависит, если вы проверяете e-mail и регулярное выражение содержит в начале ^, а в конце $ - проверять такую строку смысла нет, если регулярное выражение напичкано (.*?) - лучше не рисковать. | |
| |
|
|
| |
|
|
| |
для: cheops
(04.11.2009 в 12:27)
| | | у меня регулярное выражение содержит ^ , $ и +
допустим такая проверка логина и пароля может привести к sql- иньекции?
<?php
if(!preg_match("|^[a-zA-ZА-ЯЁа-яё]+$|i",$_POST['login']) or !preg_match("|^[0-9]+$|i",$_POST['password'])){
echo "<p class='error' align='center'>Введите корректные данные в поля формы<br><a href='index.php'>Назад</a></p>";
exit();
?>
|
или в этом случае лучше заменить " + " на " {8,10} ", например? | |
| |
|
|
| |
|
|
| |
для: Slo_Nik
(04.11.2009 в 12:43)
| | | Работа с базой не должна опираться на валидацию и regexp'ы которые вы используете. Вы можете в будущем разрешить пользователю называться O'neal, от этого логика работы с базой не должна меняться.
Данные которые вы заностие в базу всегда должны быть обработаны специально для этого предназначенными функциями. Таковыми являються:
mysql_real_escape_string или
PDO::quote
и
intval
в зависимости от типа | |
| |
|
|
| |
|
|
| |
для: root
(04.11.2009 в 13:04)
| | | Спасибо всем за подсказку. | |
| |
|
|
