Új hozzászólás Aktív témák

• #17633 fordfairlane veterán MineFox54 #17627

  Új Válasz 2015-06-26 20:29:02 #17633

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  

  fordfairlane

  veterán

  válasz MineFox54 #17627 üzenetére

  Ez a kód egyfajta tömegpusztító fegyver. Már a látványától hullanának az OOP fejlesztők.

• #17630 Sk8erPeter nagyúr MineFox54 #17627

  Új Válasz 2015-06-26 19:48:37 #17630

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  Sk8erPeter

  nagyúr

  válasz MineFox54 #17627 üzenetére

  1. Nem konkatenálunk SQL-utasítást escape-eletlen inputtal, SOHA, semmilyen körülmények között (azt sem érdemes felhozni mentségnek, hogy de hát az szerintem megbízható adat, mert nincs olyan kívülről érkező adat, amit megbízhatónak érdemes tekinteni - ez a paranoiás szemlélet célravezetőbb), és amennyiben lehetséges, prepared statementeket KELL használni a különböző paraméterekre. És jelenleg lehetséges, mivel MySQLi-t használsz, szóval mindenképp állj át arra.
  2. Az ilyen jellegű mezőkhöz aliasokat illik használni (pl. itt SUM(tav) AS distance vagy hasonló), aztán az aliasnak megfelelően hivatkozni rájuk (pl. itt $row['distance'] - szándékosan nem használtam magyar változónevet ).

  A konkrét érdekes eltéréshez nehéz többet hozzátenni, több infót kellene tudni, mi változhat a különböző futtatások között.

• #17628 mobal nagyúr MineFox54 #17627

  Új Válasz 2015-06-26 16:23:38 #17628

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  mobal

  nagyúr

  válasz MineFox54 #17627 üzenetére

  Első körben a két generált sql sztringed nézd meg.

Új hozzászólás Aktív témák