Można jakoś zoptymalizować te zapytania? Byłbym wdzięczny za podanie błędów, które mogą zaszkodzić bezpieczeństwu bazy.

[PHP] pobierz, plaintext 
$zarejestrowani = "SELECT COUNT(id) FROM `users`";
$zarej = mysql_fetch_array(mysql_query($zarejestrowani));
$online = "SELECT COUNT(active) FROM `users` WHERE active='1' and last_action > ".(time() - 900)."";
$active = mysql_fetch_array(mysql_query($online));
$ostatni = "SELECT `login` FROM `users` ORDER BY `id` DESC LIMIT 1";
$ost = mysql_fetch_array(mysql_query($ostatni));
$mostactive = "SELECT `mostactive` FROM `inne` WHERE `id`='1'";
$mostact = mysql_fetch_array(mysql_query($mostactive));
[PHP] pobierz, plaintext 

Wyniki wyświetlam później np.

Przecież nie wstawiasz tutaj żadnych zmiennych do zapytania.

Po co ten temat? To tak jakbyś zapytał jaka jest szansa, że szary kowalski wyniesie Twój sejf z 15cm tytanowymi ściankami i go rozwali. ;p

Nie, tylko jedna mała uwaga: intów nie dawaj w żadne apostrofy/cudzysłowy, nie trzeba. I używaj apostrofów zamiast cudzysłowów w PHP gdy nie korzystasz z wstawiania zmiennych bezpośrednio w treści tekstu.

Przefiltruj, escapuj etc., a najlepiej przejdź na OOP i skorzystaj z PDO i preparowania zapytań. Z PDO masz mniej rzeczy na głowie i możesz spać spokojnie wiedząc, że wszystko jest w porządku i niczego nie zapomniałeś przefiltrować pod kątem niepożądanego kodu. Ale nie masz co się martwić jeżeli nie wstawiasz zmiennych do zapytania

@Mephistofeles: Widzę, że są dwie różne szkoły. Jedni radzą zawsze używać apostrofów, a inni wręcz przeciwnie. Czy brak apostrofów nie ułatwia czasami sql injection? Możliwe, że coś pomieszałem, a jeżeli tak się stało niech mnie ktoś oświeci. W samym SQL nie używać, bo nie ma po co, ale obsługa bazy przez PHP to już inna baja, nie? (biorę pod uwagę, że w tym kodzie ma to małe znaczenie [statyczne zapytania], ale przeczyta to ktoś dopiero zaczynający zabawę z PHP i będzie buble pisał, a nie kod..)

Pozdrawiam,
mmica

Ok. A da się jakoś połączyć te zapytania, aby było ich mniej?

Popatrz na kod i odpowiedz mi na pytanie: Co przefiltrować? Co escapować?

A jak masz wykopać jedną małą dziurę to kupisz koparkę?

Więc po co piszesz o filtrowaniu i escapowaniu?


Wystarczy popatrzeć na wydajność.
Link!

Jaką różnicę zrobi wpisanie np. jako username
' and 1=1 /*
" and 1=1 /*

Dla mnie żadną

@fifi209: No nie trzeba od razu tak besztać. Po to istnieje to forum, aby rozmawiać i wyprowadzać z błędu. Kolega napisał:A ja odpowiedziałem co może mu się przytrafić i na co powinien uważać, tylko tyle.

A co do apostrofów: wyraziłem moją niepewność.


Tak, chyba trochę robi różnicę. Stringa trzeba zamknąć, a jeżeli wyescape'uje się ciąg podany jako argument zostaną wyescapowane wszystkie apostrofy, a zatem ciąg nie zostanie zamknięty i żaden OR ani nic podobnego nie zdziała, bo zostanie częścią stringa, prawda? Poza tym mowa była o int'ach i w tym przypadku bez podania apostrofów escapowanie nie pomogłoby. Chyba, że ja tutaj czegoś nie pojmuję.

Argument, który przemawia za PDO, to przenośność pomiędzy bazami danych. Możliwe, że w przyszłości będziemy musieli uruchomić ten skrypt na innym serwerze, na którym nie będzie MySQL tylko PostgreSQL i co wtedy? Będziemy przepisywać cały kod? Moim zdaniem lepiej pomyśleć o tym wcześniej niż później kląć pod nosem i rezerwować sobie godziny nerwów. Nie rozumiem też tego porównania do koparki. Za pomocą PDO wszystko miałoby zwięzłą i zrozumiałą formę. Mogłbym zrozumieć gdyby chodziło o jakąś zewnętrzną bibliotekę, którą trzeba dołączyć, ale PDO to standard..

Dzięki za ciekawy link! Muszę go później dokładniej przejrzeć.

Pozdrawiam,
mmica

Przenośność swoją drogą ale pamiętaj nie wszystko będzie działało tak "hop siup" To zupełnie inne bazy, inne silniki, niby standard SQL ale jest troszkę inaczej.

Chcąc zapewnić pełną przenośność lepiej użyć Doctrine (Propela).

Dobra, ale jak je zoptymalizować (zrobić z tych zapytań jak najmniejszą liczbę przy tym samym wyniku)?