PDO фильтрация данных

Форум / PHP общие вопросы / Базы данных / Печать / RSS-лента
0
1. XwiruS (10.03.15 / 20:14)
Пацак
Серфил сейчас по статьям о PDO и наткнулся на вот такое:
Теперь давайте вспомним и о безопасности, ведь все данные нужно проверять. Как мы делали это раньше?


$sql = "SELECT * FROM users WHERE name = $name";
$name = $_POST["name"];

// MySQL
$name = mysql_real_escape_string($name);

// SQLite
$name = sqlite_escape_string($name);

// PostgreSQL
$name = pg_escape_string($name);


Теперь же нам не нужно этого делать. PDO сделает всё за нас.


$name = $db->quote($name);
$result = $db->query($sql);


PDO сам всё проверит и обработает переданные данные. Круто?:) Дальше ещё круче!

То есть теперь можно не переживать на счет инъекций или я что то не так понял?
Ну int в любом случае нужно будет проверять на отрицательные числа.
А вот как со string быть?
Прогонять через strip_tags и потом не боясь в бд записывать?
0
2. Vantuz (10.03.15 / 21:42)
Господин ПЖ
1. XwiruS, во всех современных фреймворках данные фильтруют на выводе из БД, а в базу пишут так как есть
используй плейсхолдеры, чтобы не было инъекции, а quote вроде как заключает строки в кавычки для использования в запросе
0
3. XwiruS (10.03.15 / 22:46)
Пацак
2. Vantuz, То есть булки расслаблять не стоит.
А про плейсхолдеры сейчас погуглю. Спс.
0
4. Reflesh (11.03.15 / 01:09)
Пришелец
1. XwiruS, Только проснулся?) И вообще про mysql_ надо было забыть года три назад )
0
5. XwiruS (11.03.15 / 08:05)
Пацак
4. Reflesh, не было необходимости)
0
6. byvlad (16.08.16 / 17:32)
Кодер
Vantuz, PDO::quote() заключает строку в кавычки (если требуется) и экранирует специальные символы внутри строки подходящим для драйвера способом.
0
7. ramzes (17.08.16 / 03:20)
2000 лет д.н.э.
1. XwiruS, во всех современных фреймворках данные фильтруют на выводе из БД, а в базу пишут так как есть
используй плейсхолдеры, чтобы не было инъекции, а quote вроде как заключает строки в кавычки для использования в запросеVantuz (10.03.15 / 21:42)

и в чем сокрытый смысл парсить текст каждый раз на выходе, чем один раз на входе?
0
8. Zдешний (17.08.16 / 13:14)
Веем холодом
Вот документацию сейчас никто не любит читать :(
0
9. dima.london (18.08.16 / 06:34)
Малиновые штаны
ramzes, Поддерживаю.
Отредактировано: dima.london (18.08.16 / 06:35)
0
10. Джикинайс (22.08.16 / 11:17)
Чатланин
1. XwiruS, во всех современных фреймворках данные фильтруют на выводе из БД, а в базу пишут так как есть
используй плейсхолдеры, чтобы не было инъекции, а quote вроде как заключает строки в кавычки для использования в запросеVantuz (10.03.15 / 21:42)
и в чем сокрытый смысл парсить текст каждый раз на выходе, чем один раз на входе?ramzes (17.08.16 / 03:20)Vantuz (10.03.15 / 21:42)

Любит наш народ делать кучу запросов в бд, кучу выборок, кучу обработок исходящих данных. Пора привыкнуть к этому
Смайлы / Теги / Правила / Топ тем / Поиск