В общем с формы методом пост получаем тип данных и следующий этап обращение к базе. Хватает ли этой защиты перед обращением к базе. Код (Text): //Установка защиты от sql инъекций $firstname=$_POST['firstname']; $firstname=trim($firstname);//Защита от пробелов $firstname=mysql_real_escape_string($firstname);//Экранирование символов или еще функцию кодирования добавить
https://ru.stackoverflow.com/questi...ыражения-переменные-полностью-от-sql-инъекций https://nix-tips.ru/php-pdo-rabotaem-s-bazami-dannyx-pravilno.html
https://php.ru/manual/pdo.prepare.html --- Добавлено --- PHP: $firstname=$_POST['firstname']; Кроме всего этого можно поставить проверку empty, разрешить вводить только определенные символы и их количество
Боюсь опасных я пробелов, и переводов строк боюсь. А также страшных двоеточий и пунктуации всей прочей --- Добавлено --- По теме. Эта библиотека устарела 5 лет назад, сколько можно везде её пихать? В php 7 её вообще нету. Читайте посвежее литературу и документацию по языку. Про защиту от инъекций всё уже рассказали
Вот я начинающий и изучаю PHP около месяца и сталкиваюсь с такой проблемой очередной раз: 1. В любой ситуации когда код мой не работает или какая то ошибка в нем , мне предлагают решение проблемы в стиле ООП. 2. Когда читаешь в интернете про ООП все твердят что полгода год надо в процедурном программировании практиковаться и не лезть в ООП. Вопрос: 1. Когда нужно переходить на ооп?
а там же есть и процедурный синтаксис... переходить на ООП надо тогда когда надо)) тут просто есть путаница... 1. Использование классов и объектов это не обязательно ООП 2. MVC это не обязательно ООП... просто классы позволяют удобно компоновать и вызывать методы для работы с определенной сущность... поэтому их удобнее использовать.. а тоже MVC позволяет сделать понятную структуру приложения прежде всего для себя)) --- Добавлено --- а вообще ООП это концепция... я сам в этом вопросе плаваю..
Читал Дейва Скляра Разработка приложений PHP и Mysql ,но в середине книги оборвал чтение так как перестал понимать происходящее. А этот пример это методика написания из книги Head First вроде и в мануале на сайте про нее написано было (имею в виду эту функцию). Книга действительно 2010 года но она написана как бы для чайников. Планирую на днях дочитать ее и все таки перейти или на Люка Велинга Лора Томпсон или ООП Мет Зандстра --- Добавлено --- это серьезно сказано было?
я тут ничего не могу сказать)) я не читал эти книги)) до пхп у меня был небольшой опыт с другими языками... поэтому я приблизительно понимал что мне надо.. так что первым делом я узнал как пишется HelloWord... как работает вообще приложение на ПХП.. как работает веб-сервер... все очень схематично.. и узнал как передаются параметры от пользователя к приложению.. а дальше для меня было проще.. все языки приблизительно одинаковые.. .условия, циклы... смотрел чужой код.. так что теоретическая база у меня с пробелами)) но сейчас с удовольствием читаю теорию))
Странно, вроде прилично книга написана. Советую возобновить и задавать здесь вопросы по прочитанному. Книга хорошая - от самых основ до использования фреймворков доводит. Тебе предложили использовать mysqli, а не ООП. mysqli поддерживает два синтаксиса - процедурный (почти такой же, как старая библиотека mysql) и объектный. Просто нет смысла учиться на устаревшей библиотеке. --- Добавлено --- Вот это очень хорошая книга, только я бы рекомендовал её, когда уже есть понимание основ синтаксиса. И алгоритмический опыт.
Правильно ответили: Ведь всё зависит от поставленной цели! Зачем что-то конструировать на ООП когда это же самое можно написать в процедурном стиле и это будет и короче и быстрее работать.
просто я начал писать небольшой код в плане соц сети с админкой и тп. вещами без использования классов и объектов и запутался в сценариях.В общем какая то каша пошла.
Как то "небольшой код" и "соц сети с админкой" ну совершенно противоположные вещи При этом говоря про mysql_real_escape_string() о которой говорится в мануале (Данное расширение устарело, начиная с версии PHP 5.5.0, и удалено в PHP 7.0.0. Используйте вместо него MySQLi или PDO_MySQL. ) Я не считаю себя специалистом в PHP, всё писал только для своих нужд без ООП и баз данных, всё познавалось по мере необходимости, вот только недавно стал этим (ООП) интересоваться, т.к. захотелось перевести один давний код на базы данных и ООП.
Да многое можно написать без полноценных баз данных, всё делал на простых текстовых файлах. --- Добавлено --- Также посмотри SQLite3 Но это всё для не больших проектов.
Интересный троллинг Но подход не верный, тут скорее нужно не удалять пробелы, а заполнять их т.е. str_replace()
Вы просто не поняли шутки: Функция trim(), которую предложил ради шутки Sergey_Tsarev удаляет пробелы вначале и в конце я в свою очередь подхватил шутку и написал, что пробелы нужно не удалять, а заполнять (заполнять именно знаниями), т.е. вот так PHP: str_replace("пробелы", "знания", "теоретическая база с пробелами"); Вот такая вот шутка
Что вы на парня накинулись то? Спецы блин ))) Рихард - если не нужны в данных теги, то советую их ещё вырезать, и переведи строку в сущности. Если в ПОСТ принимаешь числовые данные для ковыряния таблицы БД, достаточно проверить на "целое" число. И вообще не понимаю возню с ООП, если нужен простой скрипт на три строчки... Это так, вообще по флуду в топике...