|
Действия ...
Новые сообщения [новые:0]
Дайджест
Горячие темы
Избранное [новые:0]
Форумы
Пользователи
Статистика
Статистика нагрузки
Мод. лог
Поиск
|
|
21.03.2014, 11:48:42
|
|||
|---|---|---|---|
|
|||
Что не так в этом запросе? |
|||
|
#18+
Что не так в этом запросе? $q = mysql_query("SELECT * FROM `servers` WHERE `id` = '{$_GET['id']}' LIMIT 1") or die(mysql_error()); Этот запрос очень важен но из за него каждый школьник может зайти ко мне в БД ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
21.03.2014, 11:51:57
|
|||
|---|---|---|---|
Что не так в этом запросе? |
|||
|
#18+
воспользуйся хранимыми процедурами и будет тебе счастье и спокойный сон. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
21.03.2014, 11:54:30
|
|||
|---|---|---|---|
|
|||
Что не так в этом запросе? |
|||
|
#18+
Озадачил. Что это и как это сделать? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
21.03.2014, 11:54:35
|
|||
|---|---|---|---|
Что не так в этом запросе? |
|||
|
#18+
Sven3312Что не так в этом запросе? $q = mysql_query("SELECT * FROM `servers` WHERE `id` = '{$_GET['id']}' LIMIT 1") or die(mysql_error()); Этот запрос очень важен но из за него каждый школьник может зайти ко мне в БД каким образом? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
21.03.2014, 11:55:34
|
|||
|---|---|---|---|
Что не так в этом запросе? |
|||
|
#18+
Sven3312из за него каждый школьник может зайти ко мне в БДСовершенно верно, может. Научитесь хотя бы кавычки экранировать во входящих данных. А вообще никогда нельзя данные полученные извне отправлять прямо в базу. Если в данном случае предполагается число, то нужно сначала убедиться, что пришло именно число, а только потом подставлять его в запрос. В случае, если пришло не число (т.е. явно недопустимое значение), то нужно выдавать страницу 404 с кодом 404, а запрос даже не пытаться выполнить. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
21.03.2014, 11:57:00
|
|||
|---|---|---|---|
Что не так в этом запросе? |
|||
|
#18+
вадявоспользуйся хранимыми процедурами и будет тебе счастье и спокойный сон.Не факт. Если он и в вызове хранимых процедур будет конкатенировать в запрос непроверенные значения, то счастья не будет. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
21.03.2014, 11:57:21
|
|||
|---|---|---|---|
Что не так в этом запросе? |
|||
|
#18+
ааа понял ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
21.03.2014, 13:54:55
|
|||
|---|---|---|---|
Что не так в этом запросе? |
|||
|
#18+
Sven3312, Код: sql 1. Подозреваю, что должно быть так: Код: sql 1. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
21.03.2014, 14:11:18
|
|||
|---|---|---|---|
Что не так в этом запросе? |
|||
|
#18+
MasterZivSven3312, Код: sql 1. Подозреваю, что должно быть так: Код: sql 1. Это сэкономит одно преобразование типов, но кардинально ситуацию не изменит. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
21.03.2014, 14:22:45
|
|||
|---|---|---|---|
Что не так в этом запросе? |
|||
|
#18+
авторНе факт. Если он и в вызове хранимых процедур будет конкатенировать в запрос непроверенные значения, то счастья не будет. не понял вроде обсуждалось: безопасность хранимых процедур MySQL неужели автор не смог прочитать? неужели автор из такого простого запроса сделает 15741858 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
21.03.2014, 14:46:24
|
|||
|---|---|---|---|
Что не так в этом запросе? |
|||
|
#18+
вадяавторНе факт. Если он и в вызове хранимых процедур будет конкатенировать в запрос непроверенные значения, то счастья не будет. не понял вроде обсуждалось: безопасность хранимых процедур MySQL неужели автор не смог прочитать? неужели автор из такого простого запроса сделает 15741858 Ключевое слово было "при вызове". ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
21.03.2014, 15:27:13
|
|||
|---|---|---|---|
Что не так в этом запросе? |
|||
|
#18+
авторКлючевое слово было "при вызове". не сочти за труд, объясни для меня подробно, я что-то не понял в твоём замечании... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
21.03.2014, 15:42:06
|
|||
|---|---|---|---|
Что не так в этом запросе? |
|||
|
#18+
вадяавторКлючевое слово было "при вызове". не сочти за труд, объясни для меня подробно, я что-то не понял в твоём замечании...Если он напишет так: Код: sql 1. лучше не станет. Независимо от того, что написано в процедуре. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
21.03.2014, 17:03:58
|
|||
|---|---|---|---|
Что не так в этом запросе? |
|||
|
#18+
авторЕсли он напишет так: CALL myproc('{$_GET['id']}') лучше не станет. Независимо от того, что написано в процедуре. аааааааа... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
21.03.2014, 22:21:54
|
|||
|---|---|---|---|
|
|||
Что не так в этом запросе? |
|||
|
#18+
Вот зачем пихать $_GET переменную сразу в запрос, а потом жаловаться что любой школьник этим воспользуется? Обработайте полученные данные пыхом и потом уже вставляйте. И тему в php наверно надо было перекинуть, при чем тут запрос вообще. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
start [/forum/topic.php?fid=47&mobile=1&tid=1835092]: |
0ms |
get settings: |
6ms |
get forum list: |
7ms |
check forum access: |
2ms |
check topic access: |
2ms |
track hit: |
74ms |
get topic data: |
5ms |
get forum data: |
1ms |
get page messages: |
26ms |
get tp. blocked users: |
1ms |
| others: | 209ms |
| total: | 333ms |
| 0 / 0 |
