http://www.codeproject.com návody s kódy http://www.codeplex.com kódy visual studio developer training kit (zadat do google a přidat kýženou verzi - 2008, 2010, 11) Hands on Laby, videa, dema - většinou na technologie, které verze VS přinesla Kniha? - třeba http://www.amazon.com/Windows-Programming...

Ano, a tak to má být, vyhodí chybu, protože uživatel dělá něco co vývojář nezamýšlel. Pokud chybu nevyhodí, je to zatraceně špatně napsaná aplikace. Chybu chytím ošetřím a lidsky vrátím. (Nebavíme se tu o tom, že na inputboxu samozřejmě mám mít validátor a vyřeším to na klientovi bez postbacku na se...

Něco na způsob (bez záruky, neumím PHP): $mysqli->query("CALL sp_ulozVysledky($sport, $domaci, $hoste)"); Je úplně jedno co se tam pokusí kdo dát za input, ta procedura na sql sletí, když se jí nepovede implicitní konverze na int ze stringu. (procka je zkompilovaná před tím než dostane par...

Výborně už se blížíme k cíli. Píšeš:
"když můžeš změnit tvar SQL tak je to SQL injection, proto jsem psal, že si máš přečíst co to vůbec je"

No a to v mém návrhu nemůžeš, nijak. Safe by design.

Návrh aplikace dokáže zajistit bezpečnost před SQL injection a nemusím escapovat, pořád to nechápeš? Nepoužití dynamického sql je první krok, použití procedury která sletí na invalid parse exception když na vstupu bude cokoliv jiného než celé číslo je krok druhý. Je to odolné proti SQL injection a n...

Asi jsem se nevyjádřil dost jasně: a) řeší chybný návrh databáze, tj. kdy pro stejnou věc o stejné struktuře použiji jinak pojmenované tabulky a rozšíření o další sport znamená zásah do databáze, což je nesmysl b) vkládání dat pomocí parametrizované uložené procedury místo dynamického SQL patří k je...

Mám možná jen drobné doplnění/dotaz. Žiji v přesvědčení, že výše uvedený problém se: a) řeší pomocí dvou tabulek - v jedné jsou uvedeny sporty, ve druhé výsledky a přes cizí klíč jsou spojeny b) data vkládáme pomocí uložené procedury Vyřeší se tím jak SQL injection, tak možnost, že nějaký sport přib...