Можно ли навредить?PDO

463

safasf 19.06.2015 / 18:04 Автор
Пришелец

Иньекции и тому подобное?Что не так в плане защиты сайта?

<?php
$stmt = $sql -> prepare('INSERT INTO `test` SET `a` = ?, `b` = ?');
					$stmt -> execute(array($_POST['a'],$_GET[b]));
?>

можно ли использовать чистый pdo без каких либо функций для фильтрации запоросов?

Изменил: safasf (19.06.2015 / 18:05)

Кевин Митник 19.06.2015 / 18:25
Айсберг Визави

SQL инъекций не будет, но есть и множество других уязвимостей и без этого

safasf 19.06.2015 / 18:27 Автор
Пришелец

2. Кевин Митник_HHTeam, а SELECT FROM точно так же можно использовать?

Zдешний 19.06.2015 / 19:56
Веем холодом

safasf (19 Июня 2015 / 20:04)
Иньекции и тому подобное?Что не так в плане защиты сайта?
<?php
$stmt = $sql -> prepare('INSERT INTO `test` SET `a` = ?, `b` = ?');
					$stmt -> execute(array($_POST['a'],$_GET[b]));
?>
можно ли использовать чистый pdo без каких либо функций для фильтрации запоросов?

Лучше использовать грязный pdo. Чистый - для домохозяек. Используй его как хочешь, грязный не откажет

safasf 19.06.2015 / 20:00 Автор
Пришелец

4. Zдешний, меня просто волнует вопрос о защите,только перехожу на pdo.как-то не привычно неиспользовать тот код,вот и спрашую по 10 раз(

Zдешний 19.06.2015 / 20:39
Веем холодом

safasf (19 Июня 2015 / 22:00)
4. Zдешний, меня просто волнует вопрос о защите,только перехожу на pdo.как-то не привычно неиспользовать тот код,вот и спрашую по 10 раз(

От sql-инъекций тебя это защитит. Успокойся

Александр 20.06.2015 / 01:53
Землянин

В pdo через подготовленные выражения (prepare) sql инъекция невозможна. Так что переходи и используй pdo смело.

Для выполнения действия необходимо авторизоваться!

Стикеры / Теги / Правила / Топ тем / Топ постов / Поиск