Új hozzászólás Aktív témák

• #1213 Tele von Zsinór őstag vakondka #1210

  Új Válasz 2008-03-01 09:52:01 #1213

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  Tele von Zsinór

  őstag

  válasz vakondka #1210 üzenetére

  Az injection ellen is véd, meg hogy a spec karakterek is helyesen kerüljenek be. Nálam a db osztály escape függvénye így néz ki:

  if (get_magic_quotes_gpc()) $input = stripslashes($input);
  
  return @mysql_real_escape_string($input,$this->connection);

  És ezt hívom meg minden alkalommal, amikor usertől származó adatot rakok bele query stringbe. Kivételek persze vannak: ha valamit sokszor használok, akkor inkább egy külön változóba escapelem, és azt az értéket rakom stringbe, mert a plusz memóriafoglalással is hatékonyabb, mint ennek a többszöri meghívása

• #1212 fordfairlane veterán vakondka #1210

  Új Válasz 2008-02-29 20:21:04 #1212

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  

  fordfairlane

  veterán

  válasz vakondka #1210 üzenetére

  Most olvasom a felhasználók kommentjeit, és vannak köztük érdekesek:

  "Remember to slash underscores (_) and percent signs (%), too, if you're going use the LIKE operator on the variable or you'll get some unexpected results."

  Úgy tűnik, hogyha nagyon precízek akarunk lenni, akkor saját escape függvényt kell csinálni, mert ez a példa csak a LIKE paraméterre vonatkozik.

• #1211 fordfairlane veterán vakondka #1210

  Új Válasz 2008-02-29 20:11:52 #1211

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  

  fordfairlane

  veterán

  válasz vakondka #1210 üzenetére

  Én nem szoktam ezeket a függvényeket használni. A mysql_real_escape_string leírása szerint backslash-t szúr a következő karaterek elé:
  \x00, \n, \r, \, ', " és \x1a

  Az addslashes pedig a következők elé: \, ', ". Nem tudom, hogy szükség van-e a mysql_real_escape_string-re, ezen még nem gondolkodtam el, de lehetséges.

  Ami a sprintf-et illeti, a haszna abban van, hogy típuskonverziót is kikényszerít, így egy numerikusnak várt érték, ami valami hiba vagy hack miatt nem numerikus, nem fog query hibát okozni. Én nem szoktam használni a sprinf-et, integernél általában a query-be beszúráskor explicit típuskonverziót adok meg, ha tudom, hogy csakis az adott típus lehet, pl. jelen esetben integert várok:

  $query .= 'tipus='.(int)$p['tipus'];

  Ez már inkább programozási stílus kérdése, hogy ki melyiket használja.

Új hozzászólás Aktív témák