array_map с intval не давал проскочить в запросы инъекции
я могу в фаербаге подменить значение чекбоксов и отпаравить тебя в БД каку.
да и другие не хорошие строчки есть, например не вижу смысла в substr+strlen, когда достаточно rtrim()
mysql_fetch_array - mysql_fetch_assoc
и т.д.
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
Полная Версия: Передача данных методом пост и удаление из mysql
ааа...
| Цитата |
| if($sql == true) { |
были сомнения что ученик учился у ЖП, теперь нету
правда у ЖП этот код выглядел бы
| Цитата |
| if($sql == 'true') { |
но сути не меняет. оба варианты не дадут истины)
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
Кто такой ЖП?
| Цитата |
| оба варианты не дадут истины |
Если бы это не дало истины:
if($sql == true) {
то сработал бы else. Или я что то не так понимаю?
| Цитата |
| Кто такой ЖП? |
Евгений Попов
| Цитата |
| if($sql == true) |
спорить будем или в мануал заглянем как сравнивают типы переменных?
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
Вот цитата из мануала:
| Цитата |
| Для других типов SQL-запросов, INSERT, UPDATE, DELETE, DROP и других, mysql_query() возвращает TRUE в случае успеха и FALSE в случае ошибки. |
Я не хотел бы разводить дискусии на эту тему. Вопрос звучал так:
| Цитата |
| как защититься? |
я выше написал как защищаться
| Цитата |
| Для других типов SQL-запросов, INSERT, UPDATE, DELETE, DROP и других, mysql_query() возвращает TRUE в случае успеха и FALSE в случае ошибки. |
ты не понял про что я.
===
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
| Цитата (Masian777 @ 17.03.2013 - 13:28) |
| Я не хотел бы разводить дискусии на эту тему. Вопрос звучал так: Цитата как защититься? |
строковые данные обрабатывать через mysql_real_escape_string(), числовые приводить к типу.
| Цитата |
| числовые приводить к типу. |
Вот такая проверка подойдет для защиты?
$id = $_POST['id'];
foreach ($id as $element) {
if (is_numeric($element)) { echo "$element - является числовым значением!", PHP_EOL;}
else {echo "$element - Не является числовым значением!", PHP_EOL; exit();}
}
ну можно же ко всему массиву применить сразу
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
$id = array_map('intval', $_POST['id']);
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
| Цитата (Masian777 @ 17.03.2013 - 19:37) |
| Вот такая проверка подойдет для защиты? |
не понимаю, почему ты так упорно игнорируешь мой вариант.
я его уже своим пытаюсь сделать.. тоже подозрение есть что он тебя игнорит.. нет.. он и "мой" заигнорил
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
| Цитата |
| не понимаю, почему ты так упорно игнорируешь мой вариант. |
Я же говорю что я в php новичек! Я не знаю как числовые значения массива приводить к типу. Нашел в вот такое решение. Разве оно не будет работать?
| Цитата (Masian777 @ 17.03.2013 - 20:06) |
| Я не знаю как числовые значения массива приводить к типу. |
http://www.php.net/manual/ru/function.intval.php
http://www.php.net/manual/ru/function.floatval.php
а заодно и про array_map почитай
вот же я специально написал
| Цитата |
| ну можно же ко всему массиву применить сразу |
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
Здесь расположена полная версия этой страницы.