رتبه موضوع:
  • 0 رای - 0 میانگین
  • 1
  • 2
  • 3
  • 4
  • 5
امنیت این کوئری
#1
سلام و خسته نباشید به دوستان عزیز
به این کد من ی نیگا بندازین.
$controler_company=$this->_url[0];
$company=$model->sel("select * from company where `username`='{$controler_company}' or `username`='{$controler_company}' ");
من کلمه رو از ورودی میگیرم و به صورت مستقین در کوئری استفاده میکنم.
خواستم ببینم این از لحاظ امنیتی که مشکل نداره؟
اگه مشکل داره : براش راه حلی دارین ؟
ممنون
پاسخ
تشکر شده توسط:
#2
چرا مشکل داره. باید حتماً Escape کنید یا ترجیحاً از Prepared Statement استفاده کنید.
پاسخ
تشکر شده توسط: olampiad
#3
(15-12-1394، 09:34 ق.ظ)ADMIN نوشته: چرا مشکل داره. باید حتماً Escape کنید یا ترجیحاً از Prepared Statement استفاده کنید.

تشکر فراوان بابت راهنمایی
به این تابع ی نیگا بندازین.
public function select($sql,$data=array(),$fetch=pdo::FETCH_ASSOC){
	$this->setAttribute(pdo::ATTR_EMULATE_PREPARES,false);
	$res=$this->prepare($sql);
	$res->execute($data);
	return $re=$res->fetchAll($fetch);
}

الآن این تابع سلکت من امنیت داره؟
من همه ی سلکت هارو با این انجام میدم.
ممنون
پاسخ
تشکر شده توسط:
#4
الان خیلی بهتر شد. میشه گفت تقریباً امنه فقط باید ببینیم چطوری صداش میزنید و پارامترها رو براش میفرستین.
پاسخ
تشکر شده توسط:




کاربران در حال بازدید این موضوع: 2 مهمان