Hirdetés
Új hozzászólás Aktív témák
-
Taci
addikt
válasz
sztanozs
#20676
üzenetére
Tehát ha a user hiába ad meg a linkelt példában lévő kártékonynak szánt inputot a $name változóhoz (a linkelt példában ez volt email címhez: bswan@microsoft.com'; DROP TABLE CustomerTable; PRINT 'Gotcha!'--), mindkét verzióval "védve vagyok"?
Ha igen, miért? (Ha 1-2 mondatban, vagy akár csak 1 magyarázó linkkel el tudnád mondani. - közben lentebb azt hiszem, meg is találtam rá a választ)
Ha jól értem, azért "kellene" az sqlsrv_query, mert:
When you execute this query using parameterized values and the same user input , only the INSERT query is executed.Viszont a Prepared Statement-tel (bind_param) is paraméterezek. Ezért lenne az a fajta verzió is "védett"?
Úgy látom, ez lehet az oka, igen ( [link] ):
A prepared statement is a parameterized and reusable SQL query which forces the developer to write the SQL command and the user-provided data separately. The SQL command is executed safely, preventing SQL Injection vulnerabilities.Köszönöm!
Új hozzászólás Aktív témák
- exHWSW - Értünk mindenhez IS
- Okos Otthon / Smart Home
- Kezdő fotósok digitális fényképei
- Samsung Galaxy A56 - megbízható középszerűség
- Riasztó topik
- Call of Duty: Black Ops 6
- iPhone topik
- Samsung Galaxy S24 Ultra - ha működik, ne változtass!
- Milyen videókártyát?
- One otthoni szolgáltatások (TV, internet, telefon)
- További aktív témák...
- Azonnali készpénzes Intel i5 i7 i9 8xxx 9xxx processzor felvásárlás személyesen / csomagküldés
- BESZÁMÍTÁS! Acer KG251QF 24 144Hz FHD TN 1ms monitor garanciával hibátlan működéssel
- HIBÁTLAN iPhone 12 mini 128GB Green -1 ÉV GARANCIA - Kártyafüggetlen, MS3400, 94% Akkumulátor
- DELL Universal Dock UD22
- Készpénzes / Utalásos Videokártya és Hardver felvásárlás! Személyesen vagy Postával!
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest
Cég: CAMERA-PRO Hungary Kft.
Város: Budapest