Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [PHP] Czy powinienem zabezpieczać $_GET?
Forum PHP.pl > Forum > Przedszkole
Marek_cc
2.01.2011, 13:10:21
Witam

Mam pytanie.

Czy bezpiecznie jest tak bezpośrednio wprowadzać $_GET?

[PHP] pobierz, plaintext 
  1.  
  2. $zapytanie =  $pdo -> query('SELECT * FROM news WHERE id = "'.$_GET['id'].'"');
  3. $row = $zapytanie -> fetch();
[PHP] pobierz, plaintext



Czy powinienem go wcześniej potraktować htmlspecialchars i strip_tags?
emajl22
2.01.2011, 13:17:02
htmlspecialchars używa się przy wyświetlaniu. Zapoznaj się z mysql-real-escape-string.
hwao
2.01.2011, 13:46:24
W tym przypadku wystarczy:
[PHP] pobierz, plaintext 
  1. $zapytanie =  $pdo -> query('SELECT * FROM news WHERE id = "'.( (int) $_GET['id'] ).'"');
[PHP] pobierz, plaintext


Zakładam że Twoje id to liczba całkowita.

Ale jako że używasz PDO zainteresuj się:
http://www.php.net/manual/en/pdostatement.bindparam.php

Szczegóły masz w 1 example
Mephistofeles
2.01.2011, 19:41:56
Pewnie, mysql_real... przy PDO. Cofamy się w rozwoju?
[PHP] pobierz, plaintext 
  1. $stmt = $pdo->prepare('SELECT * FROM `news` WHERE `id` = :id');
  2. $stmt->bindParam(':id', $id, PDO::PARAM_INT);
  3. $stmt->execute();
[PHP] pobierz, plaintext
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.