Autor Zpráva
Davee
Profil *
Zdravím, začínám s DIBI, mám například

$jmeno = $_POST["jmeno"];  // očekávám naopř Adam Novák
$narozen = $_POST["narozen"]; // očekávám pouze čísla 1.1.2014

musím to prohnan např mysql_escape_string() ?
Jan Tvrdík
Profil
Davee:
Četl jsi Quick Start? Pokud správně používáš modifikátory, tak nemusíš ručně volat mysql_escape_string, jestli se tedy ptáš na tohle.

Ještě to radši trochu rozvedu:

// tohle je správně
dibi::query('SELECT * FROM [users] WHERE [id] = %i', $id);

// tohle je špatně (obsahuje SQL injection zranitelnost)
dibi::query('SELECT * FROM [users] WHERE [id] = ', $id);

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: