Jak se chráníte proti SQL injekci?
Napsal: 07 dub 2012 22:37
od ower95
Zajímalo by mě, jak se PHP programátoři chrání proti SQL injekci.
Jestli spoléháte pouze na htmlspecialchars nebo využíváte různé knihovny jako Dibi, ...
Nyní jsem objevil
PHP Data Objects (ostudo, jaktože jsi to neznal už dýl) a příjde mi to dostačující.
Re: Jak se chráníte proti SQL injekci?
Napsal: 07 dub 2012 23:06
od CZechBoY
já jsem PDO ještě nezkoušel, ale vypadá to taky na nějaký framework podobný dibi (to jsem zkoušel a funguje dobře :) )
jinak escapuju přes mysql_real_escape_string nebo číselně přes (int)
Re: Jak se chráníte proti SQL injekci?
Napsal: 07 dub 2012 23:45
od ower95
PDO je oficiální PHP knihovna. Dibi na tom funguje, pokud se nepletu.
mysql_real_escape_string je pěkná funkce, taky možnost.
To dibi je perfektní, zvláště díky tekutým příkazům, ale nechce se mi jej nahazovat na malé projekty, ikdyž ono to s tou spotřebou paměti zrovna u dibi není špatné.
PDO preferuji díky tomu, že si jej jednoduše rozšířím pomocí MyLayer extends PDO, což je velmi využitelné...