|
|
|
|
|
для: G-Style
(12.07.2009 в 13:22)
| | >Но зачем это делать, если можно просто создать строку и в нее подставить все значения переменных
G-Style, Вы правы, это делать не обязательно, я бы даже сказал - не желательно если речь идет о запросах в БД. От инъекций это не защитит, а вот "рабочесть" SQL-кода навернуть может.
Есть специальные средства типа: mysql_escape_string и mysql_real_escape_string. | |
|
|
|
|
|
|
|
для: G-Style
(12.07.2009 в 19:34)
| | Так Вы явно промахнулись с муравейником.
Означенные товарищи обитают на forum.dklab.ru | |
|
|
|
|
|
|
|
для: Trianon
(12.07.2009 в 14:19)
| | Авторы: Дмитрирй Котеров, Алексей Костарев.
Книга: «PHP в подлиннике» | |
|
|
|
|
|
|
|
для: G-Style
(12.07.2009 в 14:12)
| | Вот для числовых параметров спецификаторы формата и занимаются такой обработкой.
>В книге «PHP в подлиннике» написано,
Вы бы авторов книги указали на случай всякий... | |
|
|
|
|
|
|
|
для: Trianon
(12.07.2009 в 14:00)
| | Каким образом защищает от инъекций? Т.е. перед подстановкой просто обработать параметры, но это можно сделать просто без этих функций. А кто-нибудь из авторов здесь бывает? Хотелось бы от них это узнать.
Trianon, спасибо за участие. | |
|
|
|
|
|
|
|
для: G-Style
(12.07.2009 в 13:22)
| | Вероятно, авторы имели в виду то, что спецификаторы %d и %f защищают от инъекций через соответствующие параметры.
Аналогичного спецификатора для строковых параметров нет.
До некоторой степени такая практика, безусловно, дисциплинирует... | |
|
|
|
|
|
|
| Здравствуйте. В книге «PHP в подлиннике» написано, что более безопасно писать запросы к MySQL серверу через функции sprintf или printf, но я не могу понять почему? Производим форматирование строки через эти функции – это, конечно, понятно. Но зачем это делать, если можно просто создать строку и в нее подставить все значения переменных, разве это не то же самое?! Если кто знает, разъясните, пожалуйста. Заранее спасибо. | |
|
|
|
|