Autor Zpráva
Davee
Profil *
#1 · Zasláno: 15. 7. 2014, 22:35:46
Odpovědět Citovat
Zdravím, začínám s DIBI, mám například 

$jmeno = $_POST["jmeno"];  // očekávám naopř Adam Novák
$narozen = $_POST["narozen"]; // očekávám pouze čísla 1.1.2014

musím to prohnan např mysql_escape_string() ?
Jan Tvrdík
Profil
#2 · Zasláno: 15. 7. 2014, 23:01:58 · Upravil/a: Jan Tvrdík o 3 minuty později
Odpovědět Citovat
Davee:
Četl jsi Quick Start? Pokud správně používáš modifikátory, tak nemusíš ručně volat mysql_escape_string, jestli se tedy ptáš na tohle.

Ještě to radši trochu rozvedu: 

// tohle je správně
dibi::query('SELECT * FROM [users] WHERE [id] = %i', $id);

// tohle je špatně (obsahuje SQL injection zranitelnost)
dibi::query('SELECT * FROM [users] WHERE [id] = ', $id);
Časová prodleva: 11 let

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm:

0