Помощь по скриптам | Помощь по коду
854278358 
php
$pdo->query("INSERT INTO `mail`(`signal`, `id_user`, `id_kont`, `time`, `type`, `msg`, `read`, `flaggedTo`, `share_msg`, `share_id`, `contact`) VALUES ('1', '" . $user['id'] . "', '" . htmlspecialchars($contact['id']) . "', '" . $time . "', '" . (isset($result) ? 'email' : 'personal') . "', '" . htmlspecialchars($_POST['msg']) . "', '" . (isset($result) ? '1' : '0') . "', '$flaggedIs', '$sh[share_mail]', '$sh[share_mail_id_us]', '" . htmlspecialchars($contact['id']) . "')");Вопрос как прикрыть SQL Injection ?
PAIN 189134265 (29.01.2020 в 10:46)
Вопрос как прикрыть SQL Injection ?
php
$pdo->query("INSERT INTO `mail`(`signal`, `id_user`, `id_kont`, `time`, `type`, `msg`, `read`, `flaggedTo`, `share_msg`, `share_id`, `contact`) VALUES ('1', '" . $user['id'] . "', '" . htmlspecialchars($contact['id']) . "', '" . $time . "', '" . (isset($result) ? 'email' : 'personal') . "', '" . htmlspecialchars($_POST['msg']) . "', '" . (isset($result) ? '1' : '0') . "', '$flaggedIs', '$sh[share_mail]', '$sh[share_mail_id_us]', '" . htmlspecialchars($contact['id']) . "')");Вопрос как прикрыть SQL Injection ?
Юзать подготовленные запросы, иначе смысл от PDO
System 189134265 (29.01.2020 в 10:46)
Вопрос как прикрыть SQL Injection ?
php
$pdo->query("INSERT INTO `mail`(`signal`, `id_user`, `id_kont`, `time`, `type`, `msg`, `read`, `flaggedTo`, `share_msg`, `share_id`, `contact`) VALUES ('1', '" . $user['id'] . "', '" . htmlspecialchars($contact['id']) . "', '" . $time . "', '" . (isset($result) ? 'email' : 'personal') . "', '" . htmlspecialchars($_POST['msg']) . "', '" . (isset($result) ? '1' : '0') . "', '$flaggedIs', '$sh[share_mail]', '$sh[share_mail_id_us]', '" . htmlspecialchars($contact['id']) . "')");Вопрос как прикрыть SQL Injection ?
ORM в помощь =)
Pain, пример скинешь? Я новичек в этом..
зачем вы передаете в строке? если есть так называемое магические функци которыйе заранее правильную.
И так далее! То зачем вы изврашаете в query строку
php
$stm = $pdo->prepate('INSERT INTO `mail`(`signal`) VALUES (?)');
$stm->execute([$signal]);
//или
$stm = $pdo->prepate('INSERT INTO `mail`(`signal`) VALUES (:signal)');
$stm->execute(['signal' => $signal]);
//или для жеских кодирование
$stm = $pdo->prepate('INSERT INTO `mail`(`signal`, `test`) VALUES (:signal, ?)');
$stmt->bindParam(':signal', $name);
$stmt->bindParam(2, $return_value, PDO::PARAM_STR, 4000);
$stmt->execute();И так далее! То зачем вы изврашаете в query строку