Ajoka pisze: Witam
W PHP nie ma odpowidniej funkcji mssql_escape_string() czy właściwym jest użycie addslashes()?
Czy nie ma jakiś specyficznych wyjątków?
Zainteresuj siępl.php.net/pdo A jak nie moze sie zainteresowac?
Prawde mowiac nie wiem co trzeba escape'owac i nie mam czasu przegladac manuala (Ty to zrob i napisz co znalazles..), ale t4vn.net/example/showcode/mssql-escape-string.html
pakalk pisze:
A jak nie moze sie zainteresowac?
Nie ma takiej możliwości tym sie trzeba zainteresować ! To dla bezpieczeństwa. Uzywanie parametrów powinno wejsc w krew kazdemu programiscie bo jak nie wejdzie to na wlasnej skorze mozna sie przekonac co to sql injection.
pl.wikipedia.org/wiki/SQL_injection
keczerad
e-mo.com.pl sklep w (X)HTML wraz z modulem do Subiekta GT cennik Action do osCommerce A jesli pracuje na php4, albo przerabia czyjas aplikacje?
pakalk pisze:
A jesli pracuje na php4, albo przerabia czyjas aplikacje?
z tego co napisal na grupie bazy danych to chyba nie mozliwe, brak parametrów przy bazie mssql jest bardzo nie bezpieczne bo silnik wykonuje zapytania po sredniku w stylu delete, drop itp
-- a nie watpie, ze jest niebezpieczne, tylko czasem nie da sie ot tak przerzucic na PDO, a skoro pyta o escapeowanie to dobrze, zeby mu powiedziec :P ja prawde mowiac nie wiem co trzeba w mssql i nie chce mi sie czytac.. : P
pakalk pisze: A jesli pracuje na php4, albo przerabia czyjas aplikacje?
Jeśli pierwsze to najwyższa pora zmienić dostawcę który trzyma trupa. Jeśli drugie to tym bardziej ma okazję całość poprawić :) Opowiadasz rzeczy oderwane od rzeczywistosci