|
| |
|
|
| |
для: tvv123456
(21.11.2009 в 22:42)
| | | >в смысле как по вашему от нее защититься
Обрабатывать входящие данные таким образом, чтобы они соответствовали ожидаемым. | |
| |
|
|
| |
|
|
| |
для: Trianon
(21.11.2009 в 21:41)
| | | посмотрел задачу не разбирался :)
А вы что имели ввиду когда говорили про инъекцию(в смысле как по вашему от нее защититься) | |
| |
|
|
| |
|
|
| |
для: tvv123456
(21.11.2009 в 21:28)
| | | Если бы Вы взяли переменную в кавычки, то константа как минимум поменяла бы тип, и разговор был бы совершенно другой. Но Вы же не взяли?
>А что за задача 21 не сильно понятно
См раздел "задачи на PHP" | |
| |
|
|
| |
|
|
| |
для: Trianon
(21.11.2009 в 20:54)
| | | Trianon,
извиняюсь за надоедливость, но если я возьму переменную в кавычки то уже )
UNION ALL
SELECT * FROM users WHERE (1+0)
не проскочит ка отдельный запрос, а превратитьс в параметр запроса ' )
UNION ALL
SELECT * FROM users WHERE (1+0) ' (найти то где есть такая запись)? А если не использовать экранирование кавычек, то можно закрыть данный параметр и провести тот запрос который вы превили.
Конечно я думаю процентов на 51 что ошибаюсь
А что за задача 21 не сильно понятно | |
| |
|
|
| |
|
|
| |
для: tvv123456
(21.11.2009 в 20:27)
| | | вводите в поле cena текст:
0) UNION ALL SELECT * FROM users WHERE (1+0
|
Ваш скрипт сформирует следующий запрос
SELECT * FROM cena WHERE id IN (0)
UNION ALL
SELECT * FROM users WHERE (1+0)
|
:)
Эта функция не для того чтоб спасать кого-то.
Эта функция помогает корректно сформировать синтаксис строки. Точнее - нутра строки.
Помогает, если тот, кто её использует, понимает, зачем её создали и где её применять.
А не тычет слепо во все дыры.
собствнно, как и любой другой инструмент.
Идите в мануал, в учебник, решать задачу 21 наконец... | |
| |
|
|
| |
|
|
| |
для: tvv123456
(21.11.2009 в 15:52)
| | | Trianon, ответьте пожалуйста: если это от инъекции не спасет, то что тогда от нее спасет( в целях общего развития)
:) | |
| |
|
|
| |
|
|
| |
для: Trianon
(21.11.2009 в 15:38)
| | | Вроде википедия так советует делать чтоб экранировать кавычки(и пр.) чтоб нельзя было провести несколько запросов
Хотя опыта в таких вещах у меня малова-то поэтому могу быть не прав, надеюсь что вы обьясните суть ваших притязаний | |
| |
|
|
| |
|
|
| |
для: tvv123456
(21.11.2009 в 14:50)
| | | так Ваша строка инъекцию никуда не убрала. | |
| |
|
|
| |
|
|
| |
для: Trianon
(21.11.2009 в 14:49)
| | | >Потому что тогда я потребую объяснить смысл и эффект этой строки.
>А Вы загнетесь в попытке это сделать.
Ну разве нельзя через эту переменную провести инъекцию?
Ваши слова в подобной ситуации
>а переменную $list вот так определить можно?:
>$list=implode(',', $_POST['cena'])
Так - нельзя. SQL-инъекция чистом виде.
|
Вот после этих слов я и добавил эту строчку | |
| |
|
|
| |
|
|
| |
для: tvv123456
(21.11.2009 в 14:46)
| | | Потому что тогда я потребую объяснить смысл и эффект этой строки.
А Вы загнетесь в попытке это сделать.
Сама по себе строка ничего, кроме вреда, не приносит. | |
| |
|
|
|
