Új hozzászólás Aktív témák

• #15935 Sk8erPeter nagyúr sztanozs #15930

  Új Válasz 2014-08-10 00:47:25 #15935

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  Sk8erPeter

  nagyúr

  válasz sztanozs #15930 üzenetére

  "Igen viszont a mysqli_stmt_fetch nem array-be pakol, hanem a táblamezőneveknek megfelelő változókba (ami szerintem legalább akkora probléma, mint az összefűzött sql string)."
  A kettő még csak össze sem hasonlítható. Hogy lenne ugyanakkora probléma? Az összefűzött query konkrétan komoly biztonsági kockázatot jelenthet bármilyen escape-elés nélkül (ahogy te mutattad), míg az, hogy a mező nevét "bedrótozod" az alkalmazásod kódjába, az csak egy igazodás egy kialakult struktúrához, de biztonsági kockázatot nem jelent.

  A másik felére: MySQLi helyett PDO-t használ az embör (fetch), és meg van oldva. Én legalábbis sokkal értelmesebbnek találom (amennyiben ORM és hasonlók még szóba se kerülnek). Persze ez az eredeti problémát nem oldja meg, tudtommal ilyen esetben a mysqli_stmt_bind_result nem elkerülhető.

Új hozzászólás Aktív témák