PHP/MySQL | PDO плейсхолдеры
LOTUS
Тема закрыта by
EvilMan
Причина: Thanks
EvilMan
Причина: Thanks
Добрый день!)
Сегодня у меня встал вопрос
Если я использую подготовленные запросы по типу
Стоит ли мне фильтровать входящие данные ,которые ввел пользователь?
ну там прогонять через эскейп?
Или в этом нет нужды?
Сегодня у меня встал вопрос
Если я использую подготовленные запросы по типу
$sql_insert = $pdo->prepare("INSERT INTO `forum_topics` (name,content,id_section,id_user) VALUES (?,?,?,?)");
if ($sql_insert->execute(array($name, $content, $id_section, $this_id))) {
$_SESSION['msg'] = "Создан успешно!";
}
Стоит ли мне фильтровать входящие данные ,которые ввел пользователь?
ну там прогонять через эскейп?
Или в этом нет нужды?
PAIN EvilMan (14.03.2020 в 20:08)
Добрый день!)
Сегодня у меня встал вопрос
Если я использую подготовленные запросы по типу
Стоит ли мне фильтровать входящие данные ,которые ввел пользователь?
ну там прогонять через эскейп?
Или в этом нет нужды?
Добрый день!)
Сегодня у меня встал вопрос
Если я использую подготовленные запросы по типу
$sql_insert = $pdo->prepare("INSERT INTO `forum_topics` (name,content,id_section,id_user) VALUES (?,?,?,?)");
if ($sql_insert->execute(array($name, $content, $id_section, $this_id))) {
$_SESSION['msg'] = "Создан успешно!";
}
Стоит ли мне фильтровать входящие данные ,которые ввел пользователь?
ну там прогонять через эскейп?
Или в этом нет нужды?
Не по теме: массивы можно через [ ] юзать с 5.4+
По теме: от xss плейсхолдеры не помогут
________
посл. ред. 14.03.2020 в 20:16; всего 1 раз(а); by Pain
Pain, Ну я сегодня прочел около 3-4 статей в нете.
Тот же хабр и т.д. ,везде написано,чтобы писать без дыр и т.д. в пдо нужно именно так юзать.
Возможно я что-то неправльно понял.
если я получаю число в $_GET то я делаю abs(intval()) ему еще и в плейсхолдер пихаю.
А если получаю $_POST(по типу смс в чат и т.д.) то просто в плейсхолдер.(а раньше через эскейп проганял)
Вот и думаю,нужно ли эскейпить,если я юзаб плейсхолдер
________
посл. ред. 14.03.2020 в 20:20; всего 1 раз(а); by EvilMan
Тот же хабр и т.д. ,везде написано,чтобы писать без дыр и т.д. в пдо нужно именно так юзать.
Возможно я что-то неправльно понял.
если я получаю число в $_GET то я делаю abs(intval()) ему еще и в плейсхолдер пихаю.
А если получаю $_POST(по типу смс в чат и т.д.) то просто в плейсхолдер.(а раньше через эскейп проганял)
Вот и думаю,нужно ли эскейпить,если я юзаб плейсхолдер
________
посл. ред. 14.03.2020 в 20:20; всего 1 раз(а); by EvilMan
EvilMan,
Ну prepare используют для защиты от sql inj, я же тебе говорю за xss
________
посл. ред. 14.03.2020 в 20:23; всего 1 раз(а); by Pain
А если получаю $_POST(по типу смс в чат и т.д.) то просто в плейсхолдер.(а раньше через эскейп проганял)
Ну prepare используют для защиты от sql inj, я же тебе говорю за xss
________
посл. ред. 14.03.2020 в 20:23; всего 1 раз(а); by Pain
EvilMan, читал в мануале пдо что входящие данные фильтровать не надо там серовно выдаст % ну если в базу
510222890, Спасибо!)
Видимо,этот момент я пропустил)
Видимо,этот момент я пропустил)
Ты без обвёртки пишеш?
510222890, без