Protoze umoznuje SQL injection.
Rozhodne by neskodilo alespon oquotovat uzivatelem predane parametry, ze?
Vlákno názorů k článku
PHP okénko: Využití unikátních klíčů v databázi
aura:61
25. 3. 2005 7:02
Re: Proc je posledni kod spatne?
Kód tiše předpokládá zapnutou direktivu magic_quotes_gpc. Ta je sice defaultně zapnutá, ale v článku by to i tak mělo být zmíněno.
Vermin (neregistrovaný)
25. 3. 2005 9:34
Re: Proc je posledni kod spatne?
Je defaultne zapnuta ale nekde v PHP verzi 4.0.x
; - magic_quotes_gpc = Off [Performance]
; Input data is no longer escaped with slashes so that it can be sent into
; SQL databases without further manipulation. Instead, you should use the
; function addslashes() on each input element you wish to send to a database.
php.ini-recommended pro PHP 4.3.10
; - magic_quotes_gpc = Off [Performance]
; Input data is no longer escaped with slashes so that it can be sent into
; SQL databases without further manipulation. Instead, you should use the
; function addslashes() on each input element you wish to send to a database.
php.ini-recommended pro PHP 4.3.10
Martin Kavalec (neregistrovaný)
25. 3. 2005 9:42
Re: Proc je posledni kod spatne?
A protoze si vubec nekontroluje, co si uzivatel do uzivatelskeho jmena zadal. (viz. podminka o tom, ze bychom chteli pouzit login name pro email nebo URL). Asi bychom nechteli uzivatele s loginem $#@% apod.
Chapu, ze je to kvuli prehlednosti a lepsi citelnosti, kdyby se v clanku melo resit vsechno, co by je v produkcnim prostredi potreba, nebude to tak nazorne. Ale taky myslim, ze v clanku je dost mista na to, aby se to tam zminilo.
Chapu, ze je to kvuli prehlednosti a lepsi citelnosti, kdyby se v clanku melo resit vsechno, co by je v produkcnim prostredi potreba, nebude to tak nazorne. Ale taky myslim, ze v clanku je dost mista na to, aby se to tam zminilo.
