- TCL LCD és LED TV-k
- Szenzorosan védett 12V-2x6 kábel jött az ASRock berkeiből
- RAM topik
- Amlogic S905, S912 processzoros készülékek
- Milyen notebookot vegyek?
- Sugárkövetés nélküli sugárkövetés felé menetel az új PlayStation
- Gaming notebook topik
- Intel Core i5 / i7 / i9 "Alder Lake-Raptor Lake/Refresh" (LGA1700)
- DVB-T, DVB-S (2), DVB-C eszközök
- Vezeték nélküli fülhallgatók
Új hozzászólás Aktív témák
-
Taci
addikt
válasz
sztanozs
#20676
üzenetére
Tehát ha a user hiába ad meg a linkelt példában lévő kártékonynak szánt inputot a $name változóhoz (a linkelt példában ez volt email címhez: bswan@microsoft.com'; DROP TABLE CustomerTable; PRINT 'Gotcha!'--), mindkét verzióval "védve vagyok"?
Ha igen, miért? (Ha 1-2 mondatban, vagy akár csak 1 magyarázó linkkel el tudnád mondani. - közben lentebb azt hiszem, meg is találtam rá a választ)
Ha jól értem, azért "kellene" az sqlsrv_query, mert:
When you execute this query using parameterized values and the same user input , only the INSERT query is executed.Viszont a Prepared Statement-tel (bind_param) is paraméterezek. Ezért lenne az a fajta verzió is "védett"?
Úgy látom, ez lehet az oka, igen ( [link] ):
A prepared statement is a parameterized and reusable SQL query which forces the developer to write the SQL command and the user-provided data separately. The SQL command is executed safely, preventing SQL Injection vulnerabilities.Köszönöm!
Új hozzászólás Aktív témák
- Samsung Galaxy A25 5G 128GB, Kártyafüggetlen, 1 Év Garanciával
- iPhone XR 64GB Black -1 ÉV GARANCIA - Kártyafüggetlen, MS3115
- AKCIÓ! AMD Ryzen 7 3800X 8mag 16szál processzor garanciával hibátlan működéssel
- GYÖNYÖRŰ iPhone 13 mini 128GB Pink -1 ÉV GARANCIA - Kártyafüggetlen, MS3049, 94% Akkumulátor
- Windows, Office licencek kedvező áron, egyenesen a Microsoft-tól - Automata kézbesítés utalással is!
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft.
Város: Budapest
Cég: FOTC
Város: Budapest