2. Fórumok
  3. Szoftverfejlesztés
  4. PHP programozás
  5. (kiemelt téma)

Hirdetés

!! SZERVERLEÁLLÁS, ADATVESZTÉS INFORMÁCIÓK !!

Új hozzászólás Aktív témák

  • #15935 Sk8erPeter nagyúr sztanozs #15930
    Új Válasz #15935
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    Sk8erPeter

    nagyúr

    válasz sztanozs #15930 üzenetére

    "Igen viszont a mysqli_stmt_fetch nem array-be pakol, hanem a táblamezőneveknek megfelelő változókba (ami szerintem legalább akkora probléma, mint az összefűzött sql string)."
    A kettő még csak össze sem hasonlítható. Hogy lenne ugyanakkora probléma? Az összefűzött query konkrétan komoly biztonsági kockázatot jelenthet bármilyen escape-elés nélkül (ahogy te mutattad), míg az, hogy a mező nevét "bedrótozod" az alkalmazásod kódjába, az csak egy igazodás egy kialakult struktúrához, de biztonsági kockázatot nem jelent.

    A másik felére: MySQLi helyett PDO-t használ az embör (fetch), és meg van oldva. :DDD Én legalábbis sokkal értelmesebbnek találom (amennyiben ORM és hasonlók még szóba se kerülnek). Persze ez az eredeti problémát nem oldja meg, tudtommal ilyen esetben a mysqli_stmt_bind_result nem elkerülhető.

Új hozzászólás Aktív témák