Új hozzászólás Aktív témák

• #20712 Taci addikt Mike #20711

  Új Válasz 2021-08-19 13:32:39 #20712

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  Taci

  addikt

  válasz Mike #20711 üzenetére

  Mármint hogy ne legyen paraméterezés? Vagy nem értem. Pont a paraméterezés lenne a lényeg, mert így ha valahogy az egyik érték helyére bejuttatnak egy kártékony kódrészletet, akkor bajban leszek. (a pár hozzászólással ezelőtt tárgyalt SQL injection-támadhatóság)

  Azt látom itt problémának, hogy ugye mivel dinamikusan változik a változók száma, nem tudom ráhúzni a sémát, és simán beírni, hogy
  $stmt = $mysqli->prepare("... WHERE id NOT IN (?,?,?)");
$stmt->bind_param('iii', 0,1,2); (vagy változókkal, most mindegy, csak példa)

  És így ha valamelyik érték helyett bekerül egy "rossz kód", akkor általa támadva lehetek.
  Ugye erre lenne védelem a paraméterezés, csak mivel változó, hogy mennyi elem van ennél a résznél átadva, nem tudom, hogyan lehet paraméterezni.

Új hozzászólás Aktív témák