Comments on: Уязвимости в MySQL и SQL запросах

By: Baragaru

Baragaru — Sat, 19 Dec 2009 01:19:57 +0000

А задуматься стоит!
Спасибо!

By: jqGrid – поиск данных

jqGrid – поиск данных — Thu, 03 Sep 2009 12:21:53 +0000

[...] Дело в том, что существует уязвимость, связанная с выполнением длинных запросов. [...]

By: Владимир

Владимир — Tue, 17 Feb 2009 21:35:58 +0000

Если честно, я не совсем понял, зачем нужно так преобразовывать строки.
А длину любой строки можно проверить так:
if (strlen($strim) > $max) {
//ошибка
}
else {
//создаём поле
}

By: Maxim

Maxim — Mon, 16 Feb 2009 14:10:19 +0000

Хорошая статья.
Меня интересует такой вопрос (немного не по теме)
каким образом можно установить длинну имя поля
т.е мне надо реализовать довольно сложные таблицы имина полей которых я не занаю(будет добавлять админ) при этом имя проеобразуется

function code_hex($strim)
{
$tmp=$strim ; $tmp=bin2hex($tmp); return $tmp;}
function decode_hex($strim)
{
$tmp=$strim ; $tmp=pack("H*",$tmp); return $tmp;}

т.е имя возрастает в два раза но позволяет использовать любые символы.
?

By: Владимир

Владимир — Fri, 29 Aug 2008 16:56:51 +0000

ну, вы спросили как, я привел пример
А вообще-то вы правы, врядли кто-то будет писать запросы вручную, после того как познакомится с библиотекой.
Как минимум будет использовать подстановку через знаки вопроса.

By: Taral

Taral — Fri, 29 Aug 2008 02:59:56 +0000

Ну если постаратся то можно) Только если так писать запросы то зачем вообще использовать библиотеку?)
Я использую связывание методов. $this->db->select('fff')->from('dddd')…
Очень удобно и гибко. Ладно что тут спорить. Я говорил не про то как можно сделать ошибку используя библиотеку, а насколько важно знать про инфекцию через скобки используя библиотеки (используя их нормально)) ).

By: Владимир

Владимир — Thu, 28 Aug 2008 10:42:52 +0000

Стандартный пример

$this->db->query('SELECT * FROM users WHERE name='.$_POST['name'].' AND pass='.$_POST['pass']);

В таком запросе нужно использовать функции
$this->db->escape()
$this->db->escape_str()

Но если вы перепишите запрос так:
$sql = "SELECT * FROM users WHERE name = ? AND pass = ?;
$this->db->query($sql, array($_POST['name'], $_POST['pass']));
то CI автоматически экранирует все элементы массива.

Тоже самое происходит и при использовании Active Record Class.

Вместо $_POST['name'] лучше использовать $this->input->post('name');

By: Taral

Taral — Thu, 28 Aug 2008 08:40:46 +0000

Например? Я использую стандартную библиотеку CodeIgniter. И как же так прокинуть скобки внутрь?

By: Владимир

Владимир — Mon, 25 Aug 2008 18:29:50 +0000

сводит на нет все эти "дыры"

Только если их правильно использовать. Практически все библиотеки позволяют выполнить "сырой" запрос.

By: Владимир

Владимир — Mon, 25 Aug 2008 08:11:02 +0000

Отличная статейка