Przykład: Jakaś instrukcja SELECT, która pobiera dane i wyświetla na ekranie. Zastanawiam się w jaki sposób to zrobić. Do głowy przychodzą mi 2 sposoby.

1 sposób: Pobrać wszystkie dane i wyświetlać za pomocą pętli 10 wyników. Pod wynikami jest opcja Następne i Poprzednie

2 sposób: Pobierać z bazy tylko 10 wyników, a kiedy użytkownik kliknie np Następne to skrypt z bazy pobiera kolejne 10 wyników. Zastosowałbym tutaj ocję LIMIT.

Który sposób Waszym zdaniem jest lepszy?

Pozdrawiam

Drugi.

Przychylam się do opini Kszycha, Drugi sposób jest zdecydowanie lepszy. NIe ma sensu bez potrzeby przetwarzać wszystkich danych

Dziękuje

Pozdrawiam

A jak coś takiego zrobić? Bo jakoś nie mogę sobie z tym poradzić..

wiec... to jest problem 'porcjowania' danych
bylo poruszane na forum 100 razy ale podpowiem Ci conieco...

twoje zapytanie np:

[SQL] pobierz, plaintext 
"SELECT costam 
FROM costam"
[SQL] pobierz, plaintext 

zamień na:

[SQL] pobierz, plaintext 
"SELECT costam 
FROM costam LIMIT ".$porcja.",10";
[SQL] pobierz, plaintext 

[PHP] pobierz, plaintext 
<?php
 
$porcja = (string)$_GET['porcja'];
 
?>
[PHP] pobierz, plaintext 

wywołanie np:


oczywiscie brakuje tu duzo, jest to bardzo niebezpieczne rozwiązanie, ale ilustruje zasadę dzialania.

Z tym LIMIT to czaje

Ale dlaczego przez GET. Nie można zrobić w pętli? Tzn wypisuje 10 wyników i są dwa buttony (poprzednie, natępne). Wszystko oparte na formularzu..
I co miałeś na myśli pisząc, że jest niebezpieczne?

Proponuję pomyśleć czym się różni server-side od client-side.
Potencjalnie niebezpieczne, bo pole z query jest wklejane do zapytania SQL, ale latwo sie przed tym zabezpieczyc.

Wiem czym się różni. Ale nie widzę powodu dla którego moje rozwiązanie nie byłoby poprawne

Poprzez warunki sprawdzające? Czy może jakieś inne rozwiązanie?

Pozdrawiam

Przeczytaj to.

Dziękuje. Przeczytałem bardzo uważnie. Kiedyś już czytałem o tych atakach, ale jeszcze nie pisałem żadnego poważnego projektu. W topicu do którego podałeś lika, każdy podaje swoje pomysły. Nie wiem któy jest najlepszy, bo nigdy nie sprawdzałem, ale chyba ostatni (szkoda że go nie kumam:P ).

Ja w formularzach stosuje strip_tags. Próbowałem w formularzu wpisać np. drop table users i zapisać taki formularz. Oczywiście nic złego się nie stało. Czyli rozuiem, żę ataki SQL Injection jest niebezpieczne przez odpowiednie zmodyfikowanie URLa? Prze formularze się nie da?
Ja korzystam z sesji i zmiennych przesyłanych przez $_POST, więc problem chyba mnie nie dotyczy

Jeśli jestem w błędzie to proszę poprawcie mnie - projekt musi być bezpieczny

Proszę doradźcie sposób na zabezpieczenie przed takimi atakiami. COś nieskomplikowanego ale skutecznego

Zmieniłem zapytanie na

[SQL] pobierz, plaintext 
"SELECT costam 
FROM costam LIMIT ".$porcja.",10";
[SQL] pobierz, plaintext 

Linki mam następujące:

[HTML] pobierz, plaintext 
<a href="przegladajlogi.php?porcja=$tyl?<?=SID?>" target="wiz"><< Poprzednie</a>
<a href="przegladajlogi.php?porcja=$przod?<?=SID?>" target="wiz">Nastepne >></a>
[HTML] pobierz, plaintext 

a w kodzi php dopisałem coś takiego:

[PHP] pobierz, plaintext 
<?php
 
  $porcja = (string)$_GET['porcja'];
  if ( $porcja == &#092;"\" )
  {
	  $porcja = &#092;"0\";
  }
 
?>
[PHP] pobierz, plaintext 

I problem w tym, że nie wiem jak zrobić, że gdy użytkownik naciśnie link "Następne" to zwiększe $przod o 10, a jak "Poprzednie" to zmienię $tył o 10. Jednocześnie tego nie mogę zrobić? Jak sprawdzić które wybrał?
Skrypt wywołuje sam siebie

zapoznaj się z tym Ilość odpowiedzi na stronie?, jak to zrobić? tam masz gotowe rozwiązanie

Wielkie dzięki

Pozdrawiam