Файл примера: SQL-Injection/soln/mapping.php
$sql = "SELECT * FROM Bugs ORDER BY {$sortorder} {$direction}"; $stmt = $pdo->query($sql) ;
Использование этой техники имеет несколько преимуществ.
• Вам не придется объединять ввод пользователя с SQL-запросом, таким образом, уменьшается риск инъекции SQL-кода.
• Вы можете сделать любой компонент SQL-оператора динамическим, включая идентификаторы, ключевые слова SQL и даже любые выражения.
• Вы получаете простой и эффективный способ проверить правильность варианты выбора пользователей.
• Вы отсоединяете внутренние детали запросов в вашей базе данных от пользовательского интерфейса.
Варианты выбора пользователей имеют жесткую кодировку в вашем приложении, но они соответствуют названиям таблиц, столбцов, а также ключевым словам SQL. Варианты выбора пользователей по всему диапазону строк или чисел типичны для значений данных, но не для идентификаторов или синтаксиса.
Попросите друга просмотреть ваш код.
Опубликовал vovan666
August 17 2013 10:37:26 ·
0 Комментариев ·
3288 Прочтений ·
• Не нашли ответ на свой вопрос? Тогда задайте вопрос в комментариях или на форуме! •
Комментарии
Нет комментариев.
Добавить комментарий
Рейтинги
Рейтинг доступен только для пользователей.
Пожалуйста, залогиньтесь или зарегистрируйтесь для голосования.
Нет данных для оценки.
Гость
Вы не зарегистрированны? Нажмите здесь для регистрации.
Главная
Каталог файлов
