Различные вопросы по PHP и MySQL

Последняя активность
Файлы топика
243K
.
L!MP
11 мая 2015 г., 14:30
# Koenig (11.05.2015 / 14:09)
подготовленные выражения не экранируют данные, я бы специально экранировал, потом будет меньше проблем с мускулдампом
Не данные, а ключевые слова (имена таблиц, полей). Данные за плейсхолдерами они как раз экранируют.
.
Koenig
11 мая 2015 г., 14:32
(\/)____o_O____(\/)
Swank, PDO::quote
можешь проверить через пма, так как я проверял на mysqli
.
Koenig
11 мая 2015 г., 14:34
(\/)____o_O____(\/)
L!MP, имена полей баз и тд ведь нельзя в плэйсхолдеры же загонять
.
Swank
11 мая 2015 г., 14:35
Изменено
Сексуальность валенка
L!MP, Так мне всеже не надо не чего экранировать?
.
Koenig
11 мая 2015 г., 14:37
(\/)____o_O____(\/)
Swank, проверь через пма, записать так и так
.
L!MP
11 мая 2015 г., 14:43
Swank, данные которые вставляются в запрос по плейсхолдерам не нужно экранировать. Они экранируются самим PDO. 

$stmt = $pdo->prepare('select * from users where id = ?');
$stmt->execute([$user_id]);
.
Swank
11 мая 2015 г., 14:43
Изменено
Сексуальность валенка
Limp, спасибо, понял
.
Koenig
11 мая 2015 г., 14:45
(\/)____o_O____(\/)
Swank, сам проверю
.
Koenig
11 мая 2015 г., 16:44
(\/)____o_O____(\/)
L!MP, провел тест, prepare не экранирует
$db_host = 'localhost'; 
$db_user = 'root'; 
$db_pass = ''; 
$db_name = 'annimon'; 
$db_charset = 'utf8';


try
{
  $dbh = new PDO('mysql:host=' . $db_host . ';dbname=' . $db_name, $db_user ,$db_pass);
  echo 'Connected';
}
catch (Exception $e)
{
  echo 'Unable to connect: ' . $e->getMessage();
}

$sth = $dbh->prepare("INSERT INTO `forum` SET `refid` = ?, `type` = ?, `time` = ?, `user_id` = ?, `from` = ?, `ip` = ?, `soft` = ?, `text` = ?");
$refid = 6787;
$type = 'm';
$time = time();
$user_id = 1314;
$from = 'Koenig';
$ip = $_SERVER['SERVER_ADDR'];
$soft = $_SERVER['HTTP_USER_AGENT'];
$text = '
' . $dbh->quote(file_get_contents('test.html') . '
');

$sth->execute(array($refid, $type, $time, $user_id, $from, $ip, $soft, $text));

$text = '
' . file_get_contents('test.html') . '
';
$sth->execute(array($refid, $type, $time, $user_id, $from, $ip, $soft, $text));
Прикрепленные файлы:
143135185822.png
155
(4.80 KB)
143135185822.png
.
Koenig
11 мая 2015 г., 16:58
(\/)____o_O____(\/)
prepare спасает от инъекций, так как неэкранированные данные уже подставляются в заготовленный шаблон, потому экранирование не нужно, как не крути оно воткнет все что написали
Всего: 7969
© 2025, JohnCMS