מחפש תוכנה\תוכנית מובנית למודלים

25-01-2008, 14:32

מה הבעיה בהדבקת משתני מחרוזת אל שאילתא, אם סיננתי את המשתנה מכל התווים המזיקים?

מה ההבדל בין sprintf להדבקת מחרוזות בצורה ה"רגילה"?

ולמה אני רואה שכתוב בכל מקום שזה רע להדביק מחרוזות בצורה ה"רגילה", ושעדיף להשתמש ב-sprintf?

הצורה ה"רגילה":

קוד PHP:

$foo = 'nu'.$bar;

תודה מראש

בתגובה להודעה מספר 1 שנכתבה על ידי DCD שמתחילה ב "מה רע בהדבקת מחרוזות לשאילתא?"

בסופו של דבר, אין הבדל.

בתגובה להודעה מספר 2 שנכתבה על ידי netaneldj שמתחילה ב "בסופו של דבר, אין הבדל."

אז למה בכל מקום אני קורא שזה עדיף יותר ב- sprintf?
האם זה בגלל המניפולציה שאפשר לבצע על כל משתנה בנפרד (שבדר"כ זהו משתנה המכיל מידע המגיע ממקום חיצוני) ?

אם מקדישים כמה דקות מחשבה לעניין, מגלים שעדיף לבצע את המניפולציה\אבטחה על כל משתנה בהתחלה של הסקריפט PHP... ולא כל פעם מחדש בשליחת שאילתא למסד...

בתגובה להודעה מספר 3 שנכתבה על ידי DCD שמתחילה ב "אז למה בכל מקום אני קורא שזה..."

אני מאז ומתמיד שירשרתי.. איפה כתוב שזה רע? אני מניח שההסבר נמצא שם..

_____________________________________

בתגובה להודעה מספר 4 שנכתבה על ידי tnadav1 שמתחילה ב "אני מאז ומתמיד שירשרתי.. איפה..."

לא זוכר איפה ראיתי את זה אבל אני זוכר שקראתי את זה מספר פעמים...

אני חושב שאחד מהם זה כאן:
http://shiflett.org

29-01-2008, 00:50

שימי

מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"

חבר מתאריך: 25.10.01

הודעות: 42,775

בתגובה להודעה מספר 3 שנכתבה על ידי DCD שמתחילה ב "אז למה בכל מקום אני קורא שזה..."

ואם מתכנתים יותר מכמה דקות, מגלים שלפעמים אתה רוצה לעבוד על המידע הגולמי לפני הכנסתו למסד, ואז פתאום יש לך כל מיני סלאשים ואתה מתחרפן מאיפה הם באו...

טיפ שלי:

כללי אצבע:
1. לקבוע תחילית למשתנים מסוננים
2. אין להשתמש בתוך מחרוזת SQL במשתנים שלא מכילים תחילית זו
3. אין להציב שום דבר למשתנה שמתחיל בתחילית הנ"ל בלי ששורת ההכרזה לא מתחילה במילים mysql_escape_string

אם שומרים על 3 הכללים האלה, לעולם לא יהיה SQL Injection וגם אפשר לעבוד בקלות ובחופשיות בשאר הקוד ולא לדאוג.

וכמובן, בלי קשר לכללים אלה - לוודא שאין שום מצב שהאפשרות register_globals פועלת!!! אם כן, כבו אותה. אם אין באפשרותכם (אינכם מארחים את עצמכם), ומי שמספק לכם את האירוח מסרב - עיברו ספק אירוח !

_____________________________________

נמאס לכם לזכור סיסמאות? לחצו כאן!

בתגובה להודעה מספר 6 שנכתבה על ידי שימי שמתחילה ב "ואם מתכנתים יותר מכמה דקות,..."

ציטוט:

ואם מתכנתים יותר מכמה דקות, מגלים שלפעמים אתה רוצה לעבוד על המידע הגולמי לפני הכנסתו למסד, ואז פתאום יש לך כל מיני סלאשים ואתה מתחרפן מאיפה הם באו...

לכן יש את הסינון ההתחלתי
שבו מתקנים את כל הסלאשים למיניהם...

ציטוט:

1. לקבוע תחילית למשתנים מסוננים

כמובן..זה מאוד חשוב.. עשיתי אותם כ-member במחלקה

ציטוט:

3. אין להציב שום דבר למשתנה שמתחיל בתחילית הנ"ל בלי ששורת ההכרזה לא מתחילה במילים mysql_escape_string

אתה מתכוון mysql_real_escape_string ...?

בתגובה להודעה מספר 1 שנכתבה על ידי DCD שמתחילה ב "מה רע בהדבקת מחרוזות לשאילתא?"

http://www.ariel.com.au/jokes/The_E...Programmer.html

_____________________________________

==========================================

A working class hero is something to be

==========================================

29-01-2008, 13:18

dildo-israel.com dildo-israel.com אינו מחובר

חבר מתאריך: 29.01.08

הודעות: 5

בתגובה להודעה מספר 8 שנכתבה על ידי wikiman שמתחילה ב "הסבר אפשרי"

תעשה פשוט ככה

ציטוט:

$bla = ''.$bla2.' shalom';

« לאשכול הקודם | לאשכול הבא »

כלי אשכול	חפש באשכול זה
הצג גירסת הדפסה שלח דף זה ב E-Mail	חפש באשכול זה: חיפוש מתקדם
מצבי תצוגה	דרג אשכול זה
עבור למצב לינארי מצב כלאיים עבור למצב משורשר	דרג אשכול זה:

אפשרויות משלוח הודעות
אתה לא יכול לפתוח אשכולות חדשים אתה לא יכול להגיב לאשכולות אתה לא יכול לצרף קבצים אתה לא יכול לערוך את ההודעות שלך קוד vB פעיל סמיילים פעיל קוד [IMG] פעיל קוד HTML כבוי

מעבר לפורום

כל הזמנים המוצגים בדף זה הם לפי איזור זמן GMT +2. השעה כעת היא 14:14

הדף נוצר ב 0.06 שניות עם 12 שאילתות
צור קשר - Fresh - למעלה