| Autor | Zpráva | ||
|---|---|---|---|
| Davee Profil * |
#1 · Zasláno: 27. 7. 2014, 23:37:51
Dobrý večer, mám kód na získávání dalšího pořadovanýho ID
$qShowStatus = "SHOW TABLE STATUS LIKE 'users'";
$qShowStatusResult = mysql_query($qShowStatus);
while ($row_zjisti = mysql_fetch_assoc($qShowStatusResult)) {
$pocet = $row_zjisti['Auto_increment'];
} jak lze toto sepsat pomocí DIBI? Klasický (count+1) nemůžu použít, protože, když nějaký záznam smažu, bude to počítat blbě Pak bych se chtěl zeptat, když vkládám/upravuju data, jak je nejlépe zabezpečit proti všem "škůdcům", jako sql injection, escapování apod? Dibi to řeší samo? $updateValues = array(
'jmeno' => $_POST["jmeno"],
'prijmeni' => $_POST["prijmeni"],
'admin' => $_POST["admin"],
'email' => $_POST["email"],
);
$zapis = dibi::update('users', $updateValues)->where('id = %s', $_GET['upravit'])->execute(); |
||
| Alphard Profil |
První otázku nechápu, k čemu vám to je? Pro další dotaz to stejně použít nejde, není to atomické. Při práci s auto_increment by měl být prvně proveden základní insert, pak může být získáno jeho id (viz metoda insertId()) a dále použito.
Univerzální escapování neexistuje, ale pro kontext databáze (té konkrétní zvolené) si dibi parametrické vstupy ošetří samo. |
||
| Davee Profil * |
#3 · Zasláno: 27. 7. 2014, 23:53:39
Alphard:
díky metoda insertId() je přesně ono Takže tak jak to mám, je dobře? Nemusím nijak ošetřovat např znaky: ', ", <b>text</b>, <script>..... |
||
| Alphard Profil |
#4 · Zasláno: 28. 7. 2014, 00:01:44
Kvůli databázi ne.
Dále záleží, co s tím obsahem chcete dělat. Jestli se nemá interpretovat jako html v kontextu html, je třeba převést ho na entity (nebo úplně smazat). To je ale lepší dělat až při výpisu na konkrétním místě (je to návrhově čistší, ale sežere to trošičku víc výkonu). Nejlepší je nechat to na nějakém šablonovacím systému, třeba Latte. Viz Escapování - definitivní příručka » phpFashion. |
||
|
Časová prodleva: 10 let
|
|||
0