[ Поиск ] - [ Пользователи ] - [ Календарь ]
Полная Версия: Основы PDO
Форум PHP программистов > PHP для начинающих
Bizon4ik
5.12.2013 - 02:33
Доброе время суток.
Подскажите пожалуйста, правильно ли я понимаю, что при использовании PDO можно не заморачиватся входящими данными и не боятся инъекций.

То есть следующий код безопасен:


try 
	{
		$result = $db->prepare (" INSERT INTO `gategories` (`name`) value (:categoryName) ");
		$result -> bindParam (':categoryName', $_POST['newCategory']);
		$result -> execute();
	} catch (PDOException $e)
		{
			throw new myException ("Can't insert new category into DB");
		}
dr.nomore
5.12.2013 - 04:06
Такой тоже безопасен.

$q = 'INSERT INTO `gategories` (`name`) value ("'. $_POST['newCategory'] .'";');
kaww
5.12.2013 - 06:07
Цитата (dr.nomore @ 5.12.2013 - 00:06)
Такой тоже безопасен.

, не считая того, что он дырявый чуть больше чем полностью
twin
5.12.2013 - 08:05
Цитата
`gategories`
Чет мне напомнило

_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.

Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.

Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.

user posted image
Aeq
5.12.2013 - 10:46
можно не заморачиваться если работаешь с плейсхолдерами
bestxp
5.12.2013 - 12:18
Цитата (Bizon4ik @ 5.12.2013 - 02:33)
Доброе время суток.
Подскажите пожалуйста, правильно ли я понимаю, что при использовании PDO можно не заморачиватся входящими данными и не боятся инъекций.

То есть следующий код безопасен:


try 
	{
		$result = $db->prepare (" INSERT INTO `gategories` (`name`) value (:categoryName) ");
		$result -> bindParam (':categoryName', $_POST['newCategory']);
		$result -> execute();
	} catch (PDOException $e)
		{
			throw new myException ("Can't insert new category into DB");
		}

в принципе да,



$result -> bindParam (':categoryName', $_POST['newCategory'], PDO::PARAM_STR);



еще можно добавить для полной красоты, но все равно, ИМХО нужно данные проверять , так как 100% уверенности нет, что в post будет 'newCategory' , даже если форма отправлена, никто не мешает удалить элемент в коде страницы перед отправкой)))
dr.nomore
5.12.2013 - 15:29
Цитата (kaww @ 5.12.2013 - 06:07)
Цитата (dr.nomore @ 5.12.2013 - 00:06)
Такой тоже безопасен.

, не считая того, что он дырявый чуть больше чем полностью

Продемонстрируйте как можно быстрее. Даю 24 часа на взлом.
dr.nomore
5.12.2013 - 15:32
Bizon4ik

PDO не для безопасности придумали. Что не помешало упертым мифотворцам продолжать бредить.
Aeq
5.12.2013 - 16:21
Цитата (dr.nomore @ 5.12.2013 - 15:29)
Цитата (kaww @ 5.12.2013 - 06:07)
Цитата (dr.nomore @ 5.12.2013 - 00:06)
Такой тоже безопасен.

, не считая того, что он дырявый чуть больше чем полностью

Продемонстрируйте как можно быстрее. Даю 24 часа на взлом.

$_POST['newCategory'] = '"); DROP DATABASE master;';
Быстрый ответ:
Powered by dgreen

 Графические смайлики |  Показывать подпись
Здесь расположена полная версия этой страницы.
Invision Power Board © 2001-2024 Invision Power Services, Inc.