Vlákno názorů k článku PHP okénko: Využití unikátních klíčů v databázi od Wejn - Protoze umoznuje SQL injection. Rozhodne by neskodilo alespon oquotovat...
-
Vermin (neregistrovaný)Je defaultne zapnuta ale nekde v PHP verzi 4.0.x
; - magic_quotes_gpc = Off [Performance]
; Input data is no longer escaped with slashes so that it can be sent into
; SQL databases without further manipulation. Instead, you should use the
; function addslashes() on each input element you wish to send to a database.
php.ini-recommended pro PHP 4.3.10 -
Martin Kavalec (neregistrovaný)A protoze si vubec nekontroluje, co si uzivatel do uzivatelskeho jmena zadal. (viz. podminka o tom, ze bychom chteli pouzit login name pro email nebo URL). Asi bychom nechteli uzivatele s loginem $#@% apod.
Chapu, ze je to kvuli prehlednosti a lepsi citelnosti, kdyby se v clanku melo resit vsechno, co by je v produkcnim prostredi potreba, nebude to tak nazorne. Ale taky myslim, ze v clanku je dost mista na to, aby se to tam zminilo.
