- iPhone topik
- Apple Watch Sport - ez is csak egy okosóra
- Apple iPhone 17 Pro Max – fennsík
- Milyen okostelefont vegyek?
- Homokféreggel is pózolhatna a OnePlus 15
- Szerkesztett és makrofotók mobillal
- Yettel topik
- Apple iPhone Air - almacsutka
- One mobilszolgáltatások
- Huawei Watch GT 6 és GT 6 Pro duplateszt
Új hozzászólás Aktív témák
-
#1213
Tele von Zsinór
őstag
vakondka
#1210
Tele von Zsinór
őstag
válasz
vakondka
#1210
üzenetére
Az injection ellen is véd, meg hogy a spec karakterek is helyesen kerüljenek be. Nálam a db osztály escape függvénye így néz ki:
if (get_magic_quotes_gpc()) $input = stripslashes($input);
return @mysql_real_escape_string($input,$this->connection);És ezt hívom meg minden alkalommal, amikor usertől származó adatot rakok bele query stringbe. Kivételek persze vannak: ha valamit sokszor használok, akkor inkább egy külön változóba escapelem, és azt az értéket rakom stringbe, mert a plusz memóriafoglalással is hatékonyabb, mint ennek a többszöri meghívása
-
#1212
fordfairlane
veterán
vakondka
#1210
fordfairlane
veterán
válasz
vakondka
#1210
üzenetére
Most olvasom a felhasználók kommentjeit, és vannak köztük érdekesek:
"Remember to slash underscores (_) and percent signs (%), too, if you're going use the LIKE operator on the variable or you'll get some unexpected results."
Úgy tűnik, hogyha nagyon precízek akarunk lenni, akkor saját escape függvényt kell csinálni, mert ez a példa csak a LIKE paraméterre vonatkozik.
-
#1211
fordfairlane
veterán
vakondka
#1210
fordfairlane
veterán
válasz
vakondka
#1210
üzenetére
Én nem szoktam ezeket a függvényeket használni. A mysql_real_escape_string leírása szerint backslash-t szúr a következő karaterek elé:
\x00, \n, \r, \, ', " és \x1aAz addslashes pedig a következők elé: \, ', ". Nem tudom, hogy szükség van-e a mysql_real_escape_string-re, ezen még nem gondolkodtam el, de lehetséges.
Ami a sprintf-et illeti, a haszna abban van, hogy típuskonverziót is kikényszerít, így egy numerikusnak várt érték, ami valami hiba vagy hack miatt nem numerikus, nem fog query hibát okozni. Én nem szoktam használni a sprinf-et, integernél általában a query-be beszúráskor explicit típuskonverziót adok meg, ha tudom, hogy csakis az adott típus lehet, pl. jelen esetben integert várok:
$query .= 'tipus='.(int)$p['tipus'];
Ez már inkább programozási stílus kérdése, hogy ki melyiket használja.
Új hozzászólás Aktív témák
- Formula-1
- Milyen notebookot vegyek?
- Mikrotik routerek
- exHWSW - Értünk mindenhez IS
- Windows 10
- Revolut
- Jönnek az egyes, problémákkal küzdő ASUS ROG noteszgépek kipofozott BIOS-ai
- OFF TOPIC 44 - Te mondd, hogy offtopic, a te hangod mélyebb!
- One otthoni szolgáltatások (TV, internet, telefon)
- Battlefield 2042
- További aktív témák...
- Bomba ár! Acer Aspire ES1 - AMD A8 I 8GB I 180GB SSD I 15,6" HD I HDMI I Cam I W10 I Garancia!
- Acer Predator Helios 300 - PH315-51
- Bomba Ár! Fujitsu LifeBook S762 - i5-3GEN I 8GB I 320GB I DVDRW I 13,3" HD I DP I W10 I Garancia!
- Bomba ár! Dell Latitude E6540 - i7-4GEN I 8GB I 256SSD I Radeon I 15,6" FHD I Cam I W10 I Garancia!
- Bomba ár! Dell Latitude E6510 - i7 I 4GB I 250GB I DVDRW I Nvidia I 15,6" HD+ I Cam I W10 I Gari!
- ÁRGARANCIA!Épített KomPhone i5 10400F 16/32GB RAM RTX 3060 12GB GAMER PC termékbeszámítással
- Telefon felvásárlás!! Samsung Galaxy A12/Samsung Galaxy A22/Samsung Galaxy A32/Samsung Galaxy A52
- 18 éve! Billentyűzet magyarítás magyarosítás. Festés vagy lézerezés és egyebek! 3 lehetőség is van.
- ÁRGARANCIA!Épített KomPhone Ryzen 5 7600X 16/32/64GB RAM RX 9060XT 16GB GAMER PC termékbeszámítással
- Xiaomi Mi Note 10 Lite 128GB, Kártyafüggetlen, 1 Év Garanciával
Állásajánlatok
Cég: Laptopműhely Bt.
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest