تالار گفتمان nCIS.ir

سلام و خسته نباشید به دوستان عزیز
به این کد من ی نیگا بندازین.

$controler_company=$this->_url[0];
$company=$model->sel("select * from company where `username`='{$controler_company}' or `username`='{$controler_company}' ");

من کلمه رو از ورودی میگیرم و به صورت مستقین در کوئری استفاده میکنم.
خواستم ببینم این از لحاظ امنیتی که مشکل نداره؟
اگه مشکل داره : براش راه حلی دارین ؟
ممنون

چرا مشکل داره. باید حتماً Escape کنید یا ترجیحاً از Prepared Statement استفاده کنید.

(15-12-1394، 09:34 ق.ظ)ADMIN نوشته: [ -> ]چرا مشکل داره. باید حتماً Escape کنید یا ترجیحاً از Prepared Statement استفاده کنید.

تشکر فراوان بابت راهنمایی
به این تابع ی نیگا بندازین.

public function select($sql,$data=array(),$fetch=pdo::FETCH_ASSOC){
	$this->setAttribute(pdo::ATTR_EMULATE_PREPARES,false);
	$res=$this->prepare($sql);
	$res->execute($data);
	return $re=$res->fetchAll($fetch);
}

الآن این تابع سلکت من امنیت داره؟
من همه ی سلکت هارو با این انجام میدم.
ممنون

الان خیلی بهتر شد. میشه گفت تقریباً امنه فقط باید ببینیم چطوری صداش میزنید و پارامترها رو براش میفرستین.