За 15 лет - никто ничего у меня не сломал. А сайтов я держал около 50 штук --- Добавлено --- Просто вы не знаете Регулярные выражения - и из-за своих незнаний вам приходится писать тонны ненужного кода --- Добавлено --- Чё притихли? А как писали... Как писали... А тут - притихли
Приведите пожалуйста ссылки на ваши умозаключения, а то вот я 20 лет код пишу и не ведаю этого и всё работает. Я правду буду вам очень признателен - если вы правы.
С текстом так же фильтруешь, газонокосилкой ? --- Добавлено --- https://php.ru/forum/threads/baza-d...ljuchitsja-i-sdelat-zapros.78121/#post-604341 --- Добавлено --- Еще раз повторить ?
а если этих данных нет? а если это вообще не пост запрос? это типа защита такая странная? добавил тире в имя - будешь Васей? бред собачий !
ты, наверное, сейчас себя победителем чувствуешь? Спойлер: .. но выглядишь ты глупо и талдычить тебе бесполезно, ибо ты считаешь себя старым морским волком среди салаг но на деле тебе есть чему поучиться, мягко говоря. --- Добавлено --- сто тыщ лайков этому господину
@miltorg. Ты вставляешь ограничение на использование апострофов. А есть языки, где они вполне себе часть языка, английский, к примеру. Или французский. И т.д. И всё только потому, что лень проэкранировать/написать подготовленный запрос? Мило. Испортил входные данные. Вот в этом посте, к примеру, много кавычек, и апострофы имеются, а ты бы похерил --- Добавлено --- Кстати, никто ещё не написал. Защита от SQL-инъекций - это приятный побочный эффект экранирования или подготовленных запросов, а не их цель. Цель - чтоб вставка такого нормального себе имени, как д'Артаньян, не вызывала синтаксической ошибки
Итак. Никто, ничего не сломал - Код верный. Из д'Артаньяна получится дАртаньян - нормальное армянское имя
Если заказчик прямым текстом не просит обратного, то я позволяю любые ники и пароли - у меня это ничего не сломает, потому что я ерундой не занимаюсь. Это раз. А два, даже после валидации, данные я всё равно вставляю подготовленным запросом - просто, чтоб уж точно не забыть. Мало ли, я где-то что-то неотвалидировал. --- Добавлено --- И как быть с текстами на форуме? Если бы его реализовывал ты, то мы бы не могли вставлять код - в нём есть апострофы
@miltorg И что, тебе так лень подготовленный запрос сделать. Мне бы было наоборот, лень кучу регулярок натыкивать
вы не можете добавить тире в регулярное выражение? Я не заморачиваюсь с такими именами - резко отличающиеся результаты нужно откидывать - это закон
Могу, но зачем? Если для проекта критично, чтоб пользователь был зарегистрирован под настоящим именем, то всё равно делается сверка паспорта. Если не критично, то плевать, пусть его зовут хоть Код (Text): '; TRUNCATE users; Подготовленные запросы позволяют не думать об этом. А если ты даже свои данные вставляешь через подготовленные запросы, то ещё и от инъекций второго порядка защищаешься. --- Добавлено --- Причём, я обычно и не пишу запросы сам, ещё раз. За меня это делает фреймворк Но когда пишу - мне вопросики не сложно расставить в запрос.