Hirdetés

  2. Fórumok
  3. Szoftverfejlesztés
  4. PHP programozás
  5. (kiemelt téma)

Új hozzászólás Aktív témák

  • #20712 Taci addikt Mike #20711
    Új Válasz #20712
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    Taci

    addikt

    válasz Mike #20711 üzenetére

    Mármint hogy ne legyen paraméterezés? Vagy nem értem. Pont a paraméterezés lenne a lényeg, mert így ha valahogy az egyik érték helyére bejuttatnak egy kártékony kódrészletet, akkor bajban leszek. (a pár hozzászólással ezelőtt tárgyalt SQL injection-támadhatóság)

    Azt látom itt problémának, hogy ugye mivel dinamikusan változik a változók száma, nem tudom ráhúzni a sémát, és simán beírni, hogy
    $stmt = $mysqli->prepare("... WHERE id NOT IN (?,?,?)");
    $stmt->bind_param('iii', 0,1,2); (vagy változókkal, most mindegy, csak példa)

    És így ha valamelyik érték helyett bekerül egy "rossz kód", akkor általa támadva lehetek.
    Ugye erre lenne védelem a paraméterezés, csak mivel változó, hogy mennyi elem van ennél a résznél átadva, nem tudom, hogyan lehet paraméterezni.

Új hozzászólás Aktív témák