Обучение/Помощь новичкам | Вопрос по sql иньекции
pyrokinesis
Тема закрыта by
SNEG
SNEG
<?php
if(!empty($_POST['login']) && !preg_match('/^[a-zA-Z0-9]{3,16}$/', $_POST['login']))
$error .= 'Неверный логин';
if($db->query("SELECT `login` FROM `users` WHERE `login` = '$_POST['login']'")->rowCount() == 1)
$err .= 'Логин уже занят';
у меня возник вопрос здесь же не надо выходит использовать подготовленное выражение ?
Запрос полностью безопасный ведь кроме символов a-zA-Z0-9 ничего не пройдет?
А смысл юзать PDO без подготовки?
RUS
Выходит что не надо но желательно
Wins RUS (19.02.2018 в 00:29)
А смысл юзать PDO без подготовки?
А смысл юзать PDO без подготовки?
с твоих слов безопасный шаблон или нет все равно надо катить в prepare его
________
посл. ред. 19.02.2018 в 00:33; всего 1 раз(а); by SNEG
Wins (19.02.2018 в 00:30)
Выходит что не надо но желательно
Выходит что не надо но желательно
Зачем "желательно"? если невозможно будет вставить кроме a-z0-9 другие символы если бы был exit; после сразу $error .= 'Неверный логин'; да была бы sql inj
________
посл. ред. 19.02.2018 в 00:35; всего 1 раз(а); by SNEG
SNEG , а вдруг кто то решит дополнить или убрать это правило?
Wins (19.02.2018 в 00:34)
SNEG , а вдруг кто то решит дополнить или убрать это правило?
SNEG , а вдруг кто то решит дополнить или убрать это правило?
Я вообще для себя спрашиваю, кроме меня никто ничего не сможет там добавить ))
Я просто сел задумал на какой хрен я его в prepare прокрутил если он безопасный
________
посл. ред. 19.02.2018 в 00:36; всего 1 раз(а); by SNEG
SNEG , я тебе уже ответил что лучше фильтровать все, на всякий случай.
