escapovani dat pro query
Pavel Kolesnikov
k na les.cz
Pondělí Prosinec 11 13:42:05 CET 2000
Jirka Kosek <jirka na kosek.cz> wrote:
> Honza Pazdziora wrote:
>> Faktem je, ze lidi v Perlu si mnohem min lajsnou napsat (co tak
>> pozoruji cizi kody)
>>
>> where name like '%$name%'
>>
>> bez toho, aby to $name oquotovali, kdyz uz nepouziji placeholders.
> Vzhledem k tomu, ze spravne nastavene PHP vam to $name oquotuje u dat od
> uzivatele automaticky (a muzete si vybrat, zda se ma pouzit standardní
> SQL notace (''), nebo ta z MySQL (\')), neni duvod proc si to
> nelajsnout.
Vzhledem k tomu, ze s daty z formularu cloveku muze delat spoustu
veci, pricemz jejich ukladani do databaze je dost uzkou podmnozinou,
dovolil bych si poznamenat, ze podminkou automatickeho oquotovani
rozhodne neni *spravne* nastavene PHP, ale PHP nastavene tak, jak
ho Jirka Kosek povazuje za spravne ;) [tedy predpokladam, ze je
rec o php_flag magic_quotes_gpc off].
Rozhodne mi prijde prirozenejsi oslashovat text pred vlozenim do
databaze nez ho naopak pred kupriladu vyechovanim odslashovavat ;)
Coz samozrejme nechci nikomu vnucovat do vetsi miry nez jako
argument pro tvrzeni, ze autoslashovani je spise veci vkusu.
Pavel
Další informace o konferenci Test