Защита от SQL-enjection

Discussion in 'PHP' started by je0n, 3 Jan 2007.

  1. nerezus

    nerezus Banned

    Joined:
    12 Aug 2004
    Messages:
    3,191
    Likes Received:
    729
    Reputations:
    266
    nnm покатит? там ведь чисто plain процедурный подход.

    И почему же?
    Я что-то не понял, или кто-то действительно написал, что оно дергает СУБД?
    Она работает на клиенте. А требует просто наличие соединения, чтобы знать кодировку.

    Так и делают.
    Только в некоторых случаях под него даже orm попадает.
     
  2. EXSlim

    EXSlim Elder - Старейшина

    Joined:
    9 Oct 2006
    Messages:
    73
    Likes Received:
    20
    Reputations:
    18
    Насчет kiss посмотри исходники propel или doctrine все ли там понятно. orm не то место где нужно строго придерживаться kiss(если, конечно ты не пишеш свою orm). Подключил и забыл, тебе предоставили только апи, а как оно там работает - забота разработчика orm. Кстати, в zf ниразу нет orm


    итак, ты поддерживаеш nnm. plain подход? хорошо.
    Знаеш поддержка это не только следить чтоб ничего не упало, это еще и добавление новых фичей, туда же рефакторинг и т.д. Удобно смотреть на спагетти в коде? А еще есть DRY. Он ведь рядом с KISS стоит.

    зы. я не удивлюсь если ннм работает на одном сервере(не настолько он нагружен) там больше на статику нагрузка, а nginx ее раздаст и даже не моргнет
     
  3. heks

    heks Banned

    Joined:
    24 Aug 2007
    Messages:
    713
    Likes Received:
    95
    Reputations:
    12
    http://www.a-store.ru/catalogue/?cat='+union+select+1,2,3/*
    почему результат не выводит при написании команд version() и других
     
  4. nerezus

    nerezus Banned

    Joined:
    12 Aug 2004
    Messages:
    3,191
    Likes Received:
    729
    Reputations:
    266
    Пишу) Точнее надо оформить в норм вид - phpdoc добавить)

    Мой знакомый писал ее движок. Год уже он не учавствует в проекте.
    Я привел это только как подтверждение, что и так можно делать крупнейшие сайты.

    Именно так и было, ща хз. При этом это один из самых посещаемых ресурсов рунета.

    Zend_Db хватает для полной абстракции. ORM свой. На Zend_Db основан.
     
  5. EXSlim

    EXSlim Elder - Старейшина

    Joined:
    9 Oct 2006
    Messages:
    73
    Likes Received:
    20
    Reputations:
    18
    Трин? Куда пропал?

    Zend_Db штука универсальная и переносимая, но это не более чем фабрика. А вот Zend_Db_* предоставляет полноценный ActiveRecord, кажется лучший что я видел среди всем пхп фрейморков(имхо). Зачем тебе orm? Zend_Db_* много чего умеет

    По топику.
    Метод _quote используется как дефолтный эскейпер для всех бэкендов бд. Вот чем я советовал заменить mysql_real_escape_string
     
  6. nerezus

    nerezus Banned

    Joined:
    12 Aug 2004
    Messages:
    3,191
    Likes Received:
    729
    Reputations:
    266
    Трин. Неважно)

    Для простоты использования ;)
     
  7. Doom123

    Doom123 Elder - Старейшина

    Joined:
    11 Nov 2006
    Messages:
    749
    Likes Received:
    244
    Reputations:
    22
    Оо мм а я не знал что если не поключатся к mysql можно произвести sql иньекцию =\\


    EXSlim я не понимаю если ты считаещь что ты прав нах ты тут пишешь? просто используй свой метод .. нах тут чтото комуто доказывть?
     
  8. Pashkela

    Pashkela Динозавр

    Joined:
    10 Jan 2008
    Messages:
    2,750
    Likes Received:
    1,044
    Reputations:
    339
    http://www.a-store.ru/catalogue/?cat='+union+select+1,2,unhex(hex(version()))/*

    только тема немного не та
     
Loading...
Similar Threads - Защита enjection
  1. GAiN
    Replies:
    3
    Views:
    7,891