Forum PHP.pl > PDO a bezpieczenstwo

Pomoc - Szukaj - Użytkownicy - Kalendarz

bfcior

15.11.2007, 01:35:38

Witam,
Tak sobie przegladam forum i nie moglem znalezc konkretnej odpowiedzi.
Czy ktos potrafi mi odpowiedziec doslownie, czy stosowanie:

$pdo -> prepare('select * from tab where naz = :naz');
$stm -> bindParam(':naz', $_GET['naz'] ,PDO::PARAM_STR);

wyklucza calkowiecie atak typu sql injection? Na jakiej mniej wiecej zasadzie to dziala?

dzieki
Wasyl..

15.11.2007, 08:24:18

Parę dni temu był o tym wątek, a odpowiedź masz w podręczniku na stronie php.net ...

Cytat

The parameters to prepared statements don't need to be quoted; the driver handles it for you. If your application exclusively uses prepared statements, you can be sure that no SQL injection will occur. (However, if you're still building up other parts of the query based on untrusted input, you're still at risk).

bfcior

15.11.2007, 09:28:19

szukam i nie moge znalezc. Moze masz pod reka linka do tego watku? Chetnie bym przeczytal

jang

15.11.2007, 09:59:31

http://pl2.php.net/manual/pl/ref.pdo.php

bfcior

15.11.2007, 10:24:30

na php.net widzialem to, ale nie wszystkie pojecia w jezyku angielskim sa mi znane i myslalem ze gdzies ładny opis znajde na forum.php.PL

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.