Bymas | Вопрос по sql

Эпоха возмездия (RPG game)
Атмосферный Role Play
WorldByte - Наш хостинг - партнер

PHP/MySQL | Вопрос по sql

Топ дня:

dinamko

Тема закрыта by

Gazro
Причина:

Gazro

Автор

5 августа 2017, в 19:13

Истина как плесень

Можно ли использовать такой запрос? Это не есть плохо?

SELECT hp FROM users WHERE id = '$_COOKIE['id']'

________
посл. ред. 05.08.2017 в 19:19; всего 1 раз(а); by Gazro

Avenax 5 августа 2017, в 19:20

Рейтинг: 10034

Gazro (05.08.2017 в 19:13)
Можно ли использовать такой запрос? Это не есть плохо?SELECT hp FROM users WHERE id = '$_COOKIE['id']'

нельзя, это очень плохо

Gazro

Автор

5 августа 2017, в 19:20

Истина как плесень

Avenax , а как лучше?

Avenax 5 августа 2017, в 19:21

Рейтинг: 10034

Gazro , использовать pdo и подготовленный запросы
или
$id = intval($_COOKIE['id']);
SELECT hp FROM users WHERE id = '" . id . "'

Сибирский 5 августа 2017, в 19:25

Рейтинг: 5548

Вообще "SELECT hp FROM users WHERE id = '".intval($_COOKIE['id'])."' "

Gazro

Автор

5 августа 2017, в 19:29

Истина как плесень

Зачем нужен intval? У меня в id и так хранятся только целые числа.

Four 5 августа 2017, в 19:41

Эй дуги возьми трубку, Чувааакк!!!ด

Gazro (05.08.2017 в 19:29)
Зачем нужен intval? У меня в id и так хранятся только целые числа.

в целях избежания sql injection

Gazro

Автор

5 августа 2017, в 19:47

Истина как плесень

Avenax , Вот так нормально?

$stmt->$pdo('SELECT * FROM users WHERE id = ?');
$user = pdo->execute([intval('$_COOKIE['id']')]);

Avenax 5 августа 2017, в 19:52

Рейтинг: 10034

Gazro , нормально, можно и без intval, подготовленный запрос сам сделает нужную фильтрацию

Gazro

Автор

5 августа 2017, в 19:54

Истина как плесень

Avenax , благодарю

Стр.: 1, 2, 3

Форум На главную