Телеграмм чат группы prophp7 страница 11525

09:55пожаловаться #1

А

Артём in PHP

Robot Bender

$dbh->prepare("INSERT INTO city24 SET id = '{$city24['id']}', term = '{$city24['term']}', date = '{$city24['date']}', sum = '{$city24['sum']}', id_pay = '{$city24['id_pay']}', recip = '{$city24['id_pay']} ', INSERT INTO city24 SET id = '{$city24['id']}', term = '{$city24['term']}', date = '{$city24['date']}', sum = '{$city24['sum']}', id_pay = '{$city24['id_pay']}', recip = '{$city24['recip']}', appoint = '{$city24['appoint']}' ");\

Ктулхова срань...

10:04пожаловаться #2

PA

Pavel Agaletskiy in PHP

Robot Bender

$dbh->prepare("INSERT INTO city24 SET id = '{$city24['id']}', term = '{$city24['term']}', date = '{$city24['date']}', sum = '{$city24['sum']}', id_pay = '{$city24['id_pay']}', recip = '{$city24['id_pay']} ', INSERT INTO city24 SET id = '{$city24['id']}', term = '{$city24['term']}', date = '{$city24['date']}', sum = '{$city24['sum']}', id_pay = '{$city24['id_pay']}', recip = '{$city24['recip']}', appoint = '{$city24['appoint']}' ");\

Не стоит такой код использовать. Подумай, что будет, если в одном из использованных элементов массива будет одинарная кавычка и почитай про sql-иньекции и как их избежать в php

10:51пожаловаться #3

VC

Теперь у меня есть пример, что подготовленные выражения не являются защитой от инъекций

11:26пожаловаться #4

АГ

Теперь у меня есть пример, что подготовленные выражения не являются защитой от инъекций

если куда-то встроена переменная, то да. а если все биндится - то почему нет?

11:43пожаловаться #5

VC

Алексей Гевондян

если куда-то встроена переменная, то да. а если все биндится - то почему нет?

Тезис "подготовленные выражения защищают от инъекций" ложен. Могут защитить при правильном использовании, а не защищают

11:47пожаловаться #6

АГ

при каких условиях не защищают?

11:48пожаловаться #7

VC

Смотри выше вопрос)

11:48пожаловаться #8

VC

Переслано от Robot Bender

$dbh->prepare("INSERT INTO city24 SET id = '{$city24['id']}', term = '{$city24['term']}', date = '{$city24['date']}', sum = '{$city24['sum']}', id_pay = '{$city24['id_pay']}', recip = '{$city24['id_pay']} ', INSERT INTO city24 SET id = '{$city24['id']}', term = '{$city24['term']}', date = '{$city24['date']}', sum = '{$city24['sum']}', id_pay = '{$city24['id_pay']}', recip = '{$city24['recip']}', appoint = '{$city24['appoint']}' ");\

11:48пожаловаться #9

АГ

пфффф

11:54пожаловаться #10

АГ

я думал ты мне ща покажешь запрос с биндингами, который "не безопасный". а ты показываешь собираемую строку запроса.

11:55пожаловаться #11

АГ

prepare не сильвер буллет, ясен пень)

11:56пожаловаться #12

VC

Вот не всем это ясно

11:56пожаловаться #13

АГ

Вот не всем это ясно

ну... чож, ок)

11:56пожаловаться #14

VC

С другой стороны, без работы не останемся)

11:57пожаловаться #15

АГ

Переслано от Robot Bender

$dbh->prepare("INSERT INTO city24 SET id = '{$city24['id']}', term = '{$city24['term']}', date = '{$city24['date']}', sum = '{$city24['sum']}', id_pay = '{$city24['id_pay']}', recip = '{$city24['id_pay']} ', INSERT INTO city24 SET id = '{$city24['id']}', term = '{$city24['term']}', date = '{$city24['date']}', sum = '{$city24['sum']}', id_pay = '{$city24['id_pay']}', recip = '{$city24['recip']}', appoint = '{$city24['appoint']}' ");\

кстати это апдейт синтаксис, ну да фиг с ним, чего тут это обсуждать...

11:57пожаловаться #16

DT

Dmitriy Tkachenko in PHP

Тезис "подготовленные выражения защищают от инъекций" ложен. Могут защитить при правильном использовании, а не защищают

Или проще - все функции, куда в качестве аргумента можно передать строку - не защищены от инъекции

11:57пожаловаться #17

VC

bind защищает от инъекций в параметрах запроса)

12:18пожаловаться #18

DT

Dmitriy Tkachenko in PHP

$stmt = $db->prepare('INSERT INTO important_table VALUES(?, ?, ' . $_GET['id'] . ')');
$stmt->bind(1, $someValue);
$stmt->bind(2, $someValue2);

12:25пожаловаться #19

DT

Dmitriy Tkachenko in PHP

не защищает)