Представьте, что ваши пользователи хотят выбрать как сортировать списки ошибок, например по состоянию или по времени создания. Они также хотят выбрать направление сортировки.
Файл примера: SQL-Injection/soln/orderby.sql
SELECT * FROM Bugs ORDER BY status ASC
SELECT * FROM Bugs ORDER BY date_reported DESC
В следующем примере PHP-сценарий принимает запрошенные параметры order и dir, а ваш код интерполирует выбор пользователя в SQL-запрос с названием столбца и ключевым словом.
Выбрать подходящий материал по нужным параметрам и узнать http://www.agate.ru/metall/ можно здесь.
Файл примера: SQL-Injection/soln/mapping.php
$sortorder = $_REQUEST["order"]; $direction = $_REQUEST["dir"] ;
$sql = "SELECT * FROM Bugs ORDER BY $sortorder $direction"; $stmt = $pdo->query($sql);
Сценарий предполагает, что порядок содержит название столбца и что параметр dir содержит значения ASC (ASCending, возрастание) или DESC (DESCending, убывание). Это небезопасное предположение, поскольку пользователь может ввести любые значения параметра в веб-запросе.
Опубликовал vovan666
August 17 2013 10:30:04 ·
0 Комментариев ·
4165 Прочтений ·
• Не нашли ответ на свой вопрос? Тогда задайте вопрос в комментариях или на форуме! •
Комментарии
Нет комментариев.
Добавить комментарий
Рейтинги
Рейтинг доступен только для пользователей.
Пожалуйста, залогиньтесь или зарегистрируйтесь для голосования.
Нет данных для оценки.
Гость
Вы не зарегистрированны? Нажмите здесь для регистрации.
Главная
Каталог файлов
