2. Fórumok
  3. Szoftverfejlesztés
  4. PHP programozás
  5. (kiemelt téma)
Keresés

Új hozzászólás Aktív témák

  • #20677 Taci addikt sztanozs #20676
    Új Válasz #20677
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    Taci

    addikt

    válasz sztanozs #20676 üzenetére

    Tehát ha a user hiába ad meg a linkelt példában lévő kártékonynak szánt inputot a $name változóhoz (a linkelt példában ez volt email címhez: bswan@microsoft.com'; DROP TABLE CustomerTable; PRINT 'Gotcha!'--), mindkét verzióval "védve vagyok"?

    Ha igen, miért? (Ha 1-2 mondatban, vagy akár csak 1 magyarázó linkkel el tudnád mondani. - közben lentebb azt hiszem, meg is találtam rá a választ)

    Ha jól értem, azért "kellene" az sqlsrv_query, mert:
    When you execute this query using parameterized values and the same user input , only the INSERT query is executed.

    Viszont a Prepared Statement-tel (bind_param) is paraméterezek. Ezért lenne az a fajta verzió is "védett"?

    Úgy látom, ez lehet az oka, igen ( [link] ):
    A prepared statement is a parameterized and reusable SQL query which forces the developer to write the SQL command and the user-provided data separately. The SQL command is executed safely, preventing SQL Injection vulnerabilities.

    Köszönöm!

Új hozzászólás Aktív témák