PHP/MySQL | Вопрос на общее развитие.
Lis75 
Jack Sparrow (19.12.2021 в 12:02)
sqlite3 так же поддерживает расширение PDO. Используй подготовленные запросы и будет тебе счастье.
sqlite3 так же поддерживает расширение PDO. Используй подготовленные запросы и будет тебе счастье.
Причем тут данная библиотека.
Я это написал в ответ другому пользователю за PDO.
Я почти не юзаю PHP. Но на заказы приходит всякое. Потому приходится что-то спрашивать.
Python для меня более преобладает, чем php в роду своей работы.
PDO это обёртка. У меня есть несколько своих оберток для python что бы работать с базой данных.
Но данная тема же не об этом. Я хотел уточнить по php именно В ДАННОМ случае.
Jack Sparrow popka_slonika (19.12.2021 в 12:06)
Причем тут данная библиотека.
Я это написал в ответ другому пользователю за PDO.
Я почти не юзаю PHP. Но на заказы приходит всякое. Потому приходится что-то спрашивать.
Python для меня более преобладает, чем php в роду своей работы.
PDO это обёртка. У меня есть несколько своих оберток для python что бы работать с базой данных.
Но данная тема же не об этом. Я хотел уточнить по php именно В ДАННОМ случае.
Причем тут данная библиотека.
Я это написал в ответ другому пользователю за PDO.
Я почти не юзаю PHP. Но на заказы приходит всякое. Потому приходится что-то спрашивать.
Python для меня более преобладает, чем php в роду своей работы.
PDO это обёртка. У меня есть несколько своих оберток для python что бы работать с базой данных.
Но данная тема же не об этом. Я хотел уточнить по php именно В ДАННОМ случае.
Ну если в данном случае, то и первый вариант вызовет sql inj, передай ты туда какую то глобальную переменную, которая не будет соответствовать строгому типу. Например post или get
Jack Sparrow (19.12.2021 в 12:09)
Ну если в данном случае, то и первый вариант вызовет sql inj, передай ты туда какую то глобальную переменную, которая не будет соответствовать строгому типу. Например post или get
Ну если в данном случае, то и первый вариант вызовет sql inj, передай ты туда какую то глобальную переменную, которая не будет соответствовать строгому типу. Например post или get
Вы что курите. Нет там sql инъекции.
Если вы настаиваете, то приведите пример. Не будем спорить, а по фактам разложим.
popka_slonika (19.12.2021 в 12:11)
Вы что курите. Нет там sql инъекции.
Если вы настаиваете, то приведите пример. Не будем спорить, а по фактам разложим.
Вы что курите. Нет там sql инъекции.
Если вы настаиваете, то приведите пример. Не будем спорить, а по фактам разложим.
Я не буду приводить никакие примеры, вы спросили, я ответил. Выводы делать вам.
Jack Sparrow (19.12.2021 в 12:12)
Я не буду приводить никакие примеры, вы спросили, я ответил. Выводы делать вам.
Я не буду приводить никакие примеры, вы спросили, я ответил. Выводы делать вам.
Ну так вы же написали ерунду.
В данном запросе нет никаких "неотфильтрованных данных" где может быть "дырка".
Если бы я указал:
("SELECT `id` FROM `post` WHERE `catalog`='".$_GET['name']."'");Или же:
("SELECT `id` FROM `post` WHERE `catalog`='".$_POST['name']."'");Согласен.
А если
$catalog['name']Мы достали из бд, пусть даже и с помощью глобальной переменной $_GET или $_POST , перед эти не отфильтрованы данные, то да. Тут будет инъекция и "дырка".
А так вы написали "если бы, да когда, а вдруг".
popka_slonika (19.12.2021 в 12:15)
Ну так вы же написали ерунду.
В данном запросе нет никаких "неотфильтрованных данных" где может быть "дырка".
Если бы я указал:
Или же:
Согласен.
А если
Мы достали из бд, пусть даже и с помощью глобальной переменной $_GET или $_POST , перед эти не отфильтрованы данные, то да. Тут будет инъекция и "дырка".
А так вы написали "если бы, да когда, а вдруг".
Ну так вы же написали ерунду.
В данном запросе нет никаких "неотфильтрованных данных" где может быть "дырка".
Если бы я указал:
("SELECT `id` FROM `post` WHERE `catalog`='".$_GET['name']."'");Или же:
("SELECT `id` FROM `post` WHERE `catalog`='".$_POST['name']."'");Согласен.
А если
$catalog['name']Мы достали из бд, пусть даже и с помощью глобальной переменной $_GET или $_POST , перед эти не отфильтрованы данные, то да. Тут будет инъекция и "дырка".
А так вы написали "если бы, да когда, а вдруг".
Так я и сказал за первый случай если будет post или get, и ежу понятно что пользователь сам не передаст переменную из базы в запрос. К чему такая агрессия? Я отвечал на вопрос про кавычки ваши.
Jack Sparrow (19.12.2021 в 12:18)
Так я и сказал за первый случай если будет post или get, и ежу понятно что пользователь сам не передаст переменную из базы в запрос. К чему такая агрессия? Я отвечал на вопрос про кавычки ваши.
Так я и сказал за первый случай если будет post или get, и ежу понятно что пользователь сам не передаст переменную из базы в запрос. К чему такая агрессия? Я отвечал на вопрос про кавычки ваши.
Человек, нет агрессии). Где вы ее увидели, чисто рабочий настрой).
Просто пытался уточнить ваш пост.
Потому что все мы люди и допускаем ошибки).
Исходя из кода в первом посте, в первом запросе при условиях моего поста выше - нет инъекции.
Если поставить ваши условия - есть.
Вот о чем я. Спасибо.
("SELECT `id` FROM `post` WHERE `catalog`='{$catalog['name']}'");________
посл. ред. 19.12.2021 в 12:21; всего 2 раз(а); by Allazarin
Allazarin (19.12.2021 в 12:21)
("SELECT `id` FROM `post` WHERE `catalog`='{$catalog['name']}'");
Это понятно.
Но ведь вопрос о одинарных кавычках. Они ставляться в ключе именованного массива.
Потому что PHP будет пытаться интерпретировать ключ как константу, без кавычек.
popka_slonika (19.12.2021 в 12:20)
Человек, нет агрессии). Где вы ее увидели, чисто рабочий настрой).
Просто пытался уточнить ваш пост.
Потому что все мы люди и допускаем ошибки).
Исходя из кода в первом посте, в первом запросе при условиях моего поста выше - нет инъекции.
Если поставить ваши условия - есть.
Вот о чем я. Спасибо.
Человек, нет агрессии). Где вы ее увидели, чисто рабочий настрой).
Просто пытался уточнить ваш пост.
Потому что все мы люди и допускаем ошибки).
Исходя из кода в первом посте, в первом запросе при условиях моего поста выше - нет инъекции.
Если поставить ваши условия - есть.
Вот о чем я. Спасибо.
Вы сами спрашиваете и не понимаете о чем. Вы спросили за кавычки, вам ответили что инъекция будет во втором запросе. Я лишь добавил что и в первом она будет, если туда передать переменную которой может управлять пользователь. А вы не понимая уже самого вопроса, начинаете нервничать, не надо так. Берегите здоровье
