R'
Size: a a a
2019 December 25
K
prepared не для меня много надо менят
ну сложна пиздьец
$connect = new PDO('mysql:host=localhost;dbname=test','root');
$query = "INSERT INTO users VALUES
(:user_name)";
$prepare = $connect->prepare($query);
$res = $prepare->execute(['user_name' => $username]);
$connect = new PDO('mysql:host=localhost;dbname=test','root');
$query = "INSERT INTO users VALUES
(:user_name)";
$prepare = $connect->prepare($query);
$res = $prepare->execute(['user_name' => $username]);
K
другие части текста запроса - на моем примере?
это если ты в моем примере в переменной $query будешь хранить не строку а конкатенацию с $_POST переменной например
R'
public function register($user_id,$username,$first_name,$last_name) {
$query = "INSERT INTO user ( user_id,username,first_name,last_name,created)
VALUES ($user_id,$username,$first_name,$last_name,NOW())" ;
$result = $this->db->query($query);
if (!$result)return false;
else return true;
}h🐴
Если в приложении используются исключительно подготовленные запросы, разработчик может быть уверен, что никаких SQL-инъекций случиться не может (однако, если другие части текста запроса создаются с неэкранированным вводом, то SQL инъекция по-прежнему возможна).
если пользовательский ввод будет проходить как параметры в prepared statements, все будет ок
K
public function register($user_id,$username,$first_name,$last_name) {
$query = "INSERT INTO user ( user_id,username,first_name,last_name,created)
VALUES ($user_id,$username,$first_name,$last_name,NOW())" ;
$result = $this->db->query($query);
if (!$result)return false;
else return true;
}если ты вместо
$query = "INSERT INTO user ( user_id,username,first_name,last_name,created)
VALUES (:user_id,:user_name,:first_name,:last_name,NOW())"
пишешь
$query = "INSERT INTO user ( user_id,username,first_name,last_name,created)
VALUES ($user_id,$username,$first_name,$last_name,NOW())"
то привет sql иньекция
$query = "INSERT INTO user ( user_id,username,first_name,last_name,created)
VALUES (:user_id,:user_name,:first_name,:last_name,NOW())"
пишешь
$query = "INSERT INTO user ( user_id,username,first_name,last_name,created)
VALUES ($user_id,$username,$first_name,$last_name,NOW())"
то привет sql иньекция
K
$_POST я обработиваю в другом класе - в телега они приходят как JSON
похер где ты там что обработал, либо ты юзаешь prepare и у тебя все хорошо
либо ты юзаешь костыли и суешь переменные прямо в запрос и у тебя там бабка надвое сказала
либо ты юзаешь костыли и суешь переменные прямо в запрос и у тебя там бабка надвое сказала
XB
похер где ты там что обработал, либо ты юзаешь prepare и у тебя все хорошо
либо ты юзаешь костыли и суешь переменные прямо в запрос и у тебя там бабка надвое сказала
либо ты юзаешь костыли и суешь переменные прямо в запрос и у тебя там бабка надвое сказала
Либо обрабатываешь входные данные по-человечески с приведением типов и проверкой по регуляркам.
K
Либо обрабатываешь входные данные по-человечески с приведением типов и проверкой по регуляркам.
XB
А чтобы всякие мудаки не насовали в данные всякую фигню. Мусор, знаешь ли, тоже место в базе занимает.
R'
public function register($user_id,$username,$first_name,$last_name) {
$prep = $this->db->prepare("INSERT INTO user ( user_id,username,first_name,last_name,created)
VALUES (:userid,:usernam,:usernom,:userfam,NOW())") ;
$prep->bindParam(':userid', $user_id);
$prep->bindParam(':usernam', $username);
$prep->bindParam(':usernom', $first_name);
$prep->bindParam(':userfam', $last_name);
$result = $prep->execute();
if (!$result)return false;
else return true;
}️️
Ну и почему?