(22 авг 2014, 06:19) (0/0)
[0]
Z[Э]rtroiL, ну раз делишься кодом ,я думаю это совет .
ну народ ты должен знать ,раз показал и будут так делать ,лучше уж нюансы сразу говорить ,пример тому же DCMS ,один написал и до сих пор эреги в новых скриптах...
конечно если ты давно в коде в пыхе . думаю я понимаю почему тебе не охота кому-то объяснять . но твой пример как и ранее говорил не считаю удачным для других видов данных ,к примеру сообщения (их вывод).не удивлюсь если кто-то еще и like использует в запросе(те кто уже функцию применяет) ...
ну народ ты должен знать ,раз показал и будут так делать ,лучше уж нюансы сразу говорить ,пример тому же DCMS ,один написал и до сих пор эреги в новых скриптах...
конечно если ты давно в коде в пыхе . думаю я понимаю почему тебе не охота кому-то объяснять . но твой пример как и ранее говорил не считаю удачным для других видов данных ,к примеру сообщения (их вывод).не удивлюсь если кто-то еще и like использует в запросе(те кто уже функцию применяет) ...
(22 авг 2014, 04:58) (0/0)
[0]
Z[Э]rtroiL, глянул историю тем ,но не новичок ты . но почему то странные советы даешь или плохо их аргументируешь
(22 авг 2014, 04:48) (0/0)
[0]
Z[Э]rtroiL,
стритреплайз тоже заменяет))
ладно пиши как хочешь)
если через пол годика, тут тему и тебя застану, отпишусь ,посмеемся вмести)
стритреплайз тоже заменяет))
ладно пиши как хочешь)
если через пол годика, тут тему и тебя застану, отпишусь ,посмеемся вмести)
(22 авг 2014, 03:59) (0/0)
[0]
Z[Э]rtroiL, хотя бы то что ты используешь функцию не по её правильному назначению . я тебе вроде не запрещал ,и не могу. но советовал бы передавать данные именно через escape ну а на выходе html... использовать . ну ,а лучше это дело в обертку загнать.
Я как понимаю $_GET['country'] = названию города ,а что если в название содержится к примеру "'"? да и вообщем то другие слова ...
Я как понимаю $_GET['country'] = названию города ,а что если в название содержится к примеру "'"? да и вообщем то другие слова ...
(22 авг 2014, 03:46) (0/0)
[0]
Z[Э]rtroiL, вот скажи это язык си? нет ,это php . следуй стандартам ,и логике . я конечно раньше и сам в запросах использовал htmlspe........
Но щас если б я увидел у кого-то в коде ,я б руки поломал .
-------------
Надеюсь конечно ты не используешь подобные схемы в других местах типа сообщений,описания или что-то в этом стиле ?
Но щас если б я увидел у кого-то в коде ,я б руки поломал .
-------------
Надеюсь конечно ты не используешь подобные схемы в других местах типа сообщений,описания или что-то в этом стиле ?
(22 авг 2014, 03:38) (0/0)
[0]
class prot {
public static function esc($sql)
{
return trim(mysql_real_escape_string($sql));
}
public static function int($type = null)
{
if ($type != null)
$result = (int) abs($int);
else
$result = (int) ($int);
return $result;
}
}
if (isset($_GET['age'], $_GET['country']))
{
mysql_query('SELECT * FROM `users` WHERE `age` = "'.prot::int($_GET['age'],1).'" AND `country` = "'.prot::esc($_GET['country']).'"');
}
//обертка не ахти ,прост для примера . ну использовать htmlspecialchars в запросе .....мат мат мат
//от твоей защиты больше вреда чем пользы ,когда люди поймут что данные нужно заносить через escape и у еще на выходе на свое усмотрение фильтровать...
public static function esc($sql)
{
return trim(mysql_real_escape_string($sql));
}
public static function int($type = null)
{
if ($type != null)
$result = (int) abs($int);
else
$result = (int) ($int);
return $result;
}
}
if (isset($_GET['age'], $_GET['country']))
{
mysql_query('SELECT * FROM `users` WHERE `age` = "'.prot::int($_GET['age'],1).'" AND `country` = "'.prot::esc($_GET['country']).'"');
}
//обертка не ахти ,прост для примера . ну использовать htmlspecialchars в запросе .....мат мат мат
//от твоей защиты больше вреда чем пользы ,когда люди поймут что данные нужно заносить через escape и у еще на выходе на свое усмотрение фильтровать...
- 1 из 1
