Hirdetés
- Telekom mobilszolgáltatások
- Milyen hagyományos (nem okos-) telefont vegyek?
- Xiaomi 15 - kicsi telefon nagy energiával
- Samsung Galaxy S25 - végre van kicsi!
- Megtartotta Európában a 7500 mAh-t az Oppo
- A legújabb iPhone kiegészítő egy zokni, amit magunkra akaszthatunk
- Sony Xperia 1 V - kizárólag igényeseknek
- Samsung Galaxy A54 - türelemjáték
- Samsung Galaxy Buds3 Pro - szárat eresztettek a babok
- Apple iPhone 16 Pro - rutinvizsga
Új hozzászólás Aktív témák
-
Taci
addikt
válasz
sztanozs
#20676
üzenetére
Tehát ha a user hiába ad meg a linkelt példában lévő kártékonynak szánt inputot a $name változóhoz (a linkelt példában ez volt email címhez: bswan@microsoft.com'; DROP TABLE CustomerTable; PRINT 'Gotcha!'--), mindkét verzióval "védve vagyok"?
Ha igen, miért? (Ha 1-2 mondatban, vagy akár csak 1 magyarázó linkkel el tudnád mondani. - közben lentebb azt hiszem, meg is találtam rá a választ)
Ha jól értem, azért "kellene" az sqlsrv_query, mert:
When you execute this query using parameterized values and the same user input , only the INSERT query is executed.Viszont a Prepared Statement-tel (bind_param) is paraméterezek. Ezért lenne az a fajta verzió is "védett"?
Úgy látom, ez lehet az oka, igen ( [link] ):
A prepared statement is a parameterized and reusable SQL query which forces the developer to write the SQL command and the user-provided data separately. The SQL command is executed safely, preventing SQL Injection vulnerabilities.Köszönöm!
Új hozzászólás Aktív témák
- Mibe tegyem a megtakarításaimat?
- Kínai és egyéb olcsó órák topikja
- Kompakt vízhűtés
- Kinéztél egy RTX 5060 Ti-t? Lehet, jobb, ha lecsapsz rá!
- Kerékpárosok, bringások ide!
- Revolut
- PlayStation 5
- Építő/felújító topik
- One otthoni szolgáltatások (TV, internet, telefon)
- Fejhallgató erősítő és DAC topik
- További aktív témák...
Állásajánlatok
Cég: Laptopműhely Bt.
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest