|
|
|
Что не так в этом запросе?
|
|||
|---|---|---|---|
|
#18+
Что не так в этом запросе? $q = mysql_query("SELECT * FROM `servers` WHERE `id` = '{$_GET['id']}' LIMIT 1") or die(mysql_error()); Этот запрос очень важен но из за него каждый школьник может зайти ко мне в БД ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.03.2014, 11:48:42 |
|
||
|
Что не так в этом запросе?
|
|||
|---|---|---|---|
|
#18+
воспользуйся хранимыми процедурами и будет тебе счастье и спокойный сон. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.03.2014, 11:51:57 |
|
||
|
Что не так в этом запросе?
|
|||
|---|---|---|---|
|
#18+
Озадачил. Что это и как это сделать? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.03.2014, 11:54:30 |
|
||
|
Что не так в этом запросе?
|
|||
|---|---|---|---|
|
#18+
Sven3312Что не так в этом запросе? $q = mysql_query("SELECT * FROM `servers` WHERE `id` = '{$_GET['id']}' LIMIT 1") or die(mysql_error()); Этот запрос очень важен но из за него каждый школьник может зайти ко мне в БД каким образом? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.03.2014, 11:54:35 |
|
||
|
Что не так в этом запросе?
|
|||
|---|---|---|---|
|
#18+
Sven3312из за него каждый школьник может зайти ко мне в БДСовершенно верно, может. Научитесь хотя бы кавычки экранировать во входящих данных. А вообще никогда нельзя данные полученные извне отправлять прямо в базу. Если в данном случае предполагается число, то нужно сначала убедиться, что пришло именно число, а только потом подставлять его в запрос. В случае, если пришло не число (т.е. явно недопустимое значение), то нужно выдавать страницу 404 с кодом 404, а запрос даже не пытаться выполнить. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.03.2014, 11:55:34 |
|
||
|
Что не так в этом запросе?
|
|||
|---|---|---|---|
|
#18+
вадявоспользуйся хранимыми процедурами и будет тебе счастье и спокойный сон.Не факт. Если он и в вызове хранимых процедур будет конкатенировать в запрос непроверенные значения, то счастья не будет. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.03.2014, 11:57:00 |
|
||
|
Что не так в этом запросе?
|
|||
|---|---|---|---|
|
#18+
ааа понял ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.03.2014, 11:57:21 |
|
||
|
Что не так в этом запросе?
|
|||
|---|---|---|---|
|
#18+
Sven3312, Код: sql 1. Подозреваю, что должно быть так: Код: sql 1. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.03.2014, 13:54:55 |
|
||
|
Что не так в этом запросе?
|
|||
|---|---|---|---|
|
#18+
MasterZivSven3312, Код: sql 1. Подозреваю, что должно быть так: Код: sql 1. Это сэкономит одно преобразование типов, но кардинально ситуацию не изменит. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.03.2014, 14:11:18 |
|
||
|
Что не так в этом запросе?
|
|||
|---|---|---|---|
|
#18+
авторНе факт. Если он и в вызове хранимых процедур будет конкатенировать в запрос непроверенные значения, то счастья не будет. не понял вроде обсуждалось: безопасность хранимых процедур MySQL неужели автор не смог прочитать? неужели автор из такого простого запроса сделает 15741858 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.03.2014, 14:22:45 |
|
||
|
Что не так в этом запросе?
|
|||
|---|---|---|---|
|
#18+
вадяавторНе факт. Если он и в вызове хранимых процедур будет конкатенировать в запрос непроверенные значения, то счастья не будет. не понял вроде обсуждалось: безопасность хранимых процедур MySQL неужели автор не смог прочитать? неужели автор из такого простого запроса сделает 15741858 Ключевое слово было "при вызове". ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.03.2014, 14:46:24 |
|
||
|
Что не так в этом запросе?
|
|||
|---|---|---|---|
|
#18+
авторКлючевое слово было "при вызове". не сочти за труд, объясни для меня подробно, я что-то не понял в твоём замечании... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.03.2014, 15:27:13 |
|
||
|
Что не так в этом запросе?
|
|||
|---|---|---|---|
|
#18+
вадяавторКлючевое слово было "при вызове". не сочти за труд, объясни для меня подробно, я что-то не понял в твоём замечании...Если он напишет так: Код: sql 1. лучше не станет. Независимо от того, что написано в процедуре. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.03.2014, 15:42:06 |
|
||
|
Что не так в этом запросе?
|
|||
|---|---|---|---|
|
#18+
авторЕсли он напишет так: CALL myproc('{$_GET['id']}') лучше не станет. Независимо от того, что написано в процедуре. аааааааа... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.03.2014, 17:03:58 |
|
||
|
Что не так в этом запросе?
|
|||
|---|---|---|---|
|
#18+
Вот зачем пихать $_GET переменную сразу в запрос, а потом жаловаться что любой школьник этим воспользуется? Обработайте полученные данные пыхом и потом уже вставляйте. И тему в php наверно надо было перекинуть, при чем тут запрос вообще. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.03.2014, 22:21:54 |
|
||
|
|
start [/forum/topic.php?fid=47&msg=38593153&tid=1835092]: |
0ms |
get settings: |
7ms |
get forum list: |
14ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
48ms |
get topic data: |
10ms |
get forum data: |
2ms |
get page messages: |
64ms |
get tp. blocked users: |
1ms |
| others: | 219ms |
| total: | 371ms |
| 0 / 0 |
