- antikomcsi: Való Világ: A piszkos 12 - VV12 - Való Világ 12
- GoodSpeed: UEFI BIOS frissítési módok 2016-ban és 2024-ben ASUS alaplapoknál, FlashBack
- D1Rect: Nagy "hülyétkapokazapróktól" topik
- Sub-ZeRo: Euro Truck Simulator 2 & American Truck Simulator 1 (esetleg 2 majd, ha lesz) :)
- sziku69: Fűzzük össze a szavakat :)
Új hozzászólás Aktív témák
-
fordfairlane
veterán
válasz vakondka #1210 üzenetére
Én nem szoktam ezeket a függvényeket használni. A mysql_real_escape_string leírása szerint backslash-t szúr a következő karaterek elé:
\x00, \n, \r, \, ', " és \x1aAz addslashes pedig a következők elé: \, ', ". Nem tudom, hogy szükség van-e a mysql_real_escape_string-re, ezen még nem gondolkodtam el, de lehetséges.
Ami a sprintf-et illeti, a haszna abban van, hogy típuskonverziót is kikényszerít, így egy numerikusnak várt érték, ami valami hiba vagy hack miatt nem numerikus, nem fog query hibát okozni. Én nem szoktam használni a sprinf-et, integernél általában a query-be beszúráskor explicit típuskonverziót adok meg, ha tudom, hogy csakis az adott típus lehet, pl. jelen esetben integert várok:
$query .= 'tipus='.(int)$p['tipus'];
Ez már inkább programozási stílus kérdése, hogy ki melyiket használja.
x gon' give it to ya
-
fordfairlane
veterán
válasz vakondka #1210 üzenetére
Most olvasom a felhasználók kommentjeit, és vannak köztük érdekesek:
"Remember to slash underscores (_) and percent signs (%), too, if you're going use the LIKE operator on the variable or you'll get some unexpected results."
Úgy tűnik, hogyha nagyon precízek akarunk lenni, akkor saját escape függvényt kell csinálni, mert ez a példa csak a LIKE paraméterre vonatkozik.
x gon' give it to ya
-
Tele von Zsinór
őstag
válasz vakondka #1210 üzenetére
Az injection ellen is véd, meg hogy a spec karakterek is helyesen kerüljenek be. Nálam a db osztály escape függvénye így néz ki:
if (get_magic_quotes_gpc()) $input = stripslashes($input);
return @mysql_real_escape_string($input,$this->connection);És ezt hívom meg minden alkalommal, amikor usertől származó adatot rakok bele query stringbe. Kivételek persze vannak: ha valamit sokszor használok, akkor inkább egy külön változóba escapelem, és azt az értéket rakom stringbe, mert a plusz memóriafoglalással is hatékonyabb, mint ennek a többszöri meghívása
Új hozzászólás Aktív témák
- antikomcsi: Való Világ: A piszkos 12 - VV12 - Való Világ 12
- Honor Magic V2 - origami
- Építő/felújító topik
- Samsung Galaxy S23 Ultra - non plus ultra
- Újabb előzetesen a GreedFall II: The Dying World
- Kerékpárosok, bringások ide!
- Samsung Galaxy S24 Ultra - ha működik, ne változtass!
- GoodSpeed: UEFI BIOS frissítési módok 2016-ban és 2024-ben ASUS alaplapoknál, FlashBack
- Motorolaj és szűrő topik
- Már nem hisz a nagy európai EV-forradalomban a Ford
- További aktív témák...
- Crucial T500 PRO 2 TB M.2 NVME PCI-E 4.0 x4 - Új, Bontatlan, Hűtőbordás - 7400-7000 MBs - Eladó!
- Samsung Galaxy S21+ 5G 256GB, Kártyafüggetlen, 1 Év Garanciával
- Eladó Ipad 9. Generáció 64 GB Wifi Silver
- Apple iPhone 13 Pro Max 128GB, Kártyafüggetlen, 1 Év Garanciával
- ASUS ROG STRIX RTX 2080 SUPER - eladó!
Állásajánlatok
Cég: Ozeki Kft.
Város: Debrecen
Cég: Promenade Publishing House Kft.
Város: Budapest