כמה שאלות עם שימוש בטבלאות

[Hezi & BomBas]

ציטוט:

נכתב במקור על ידי The Chosen Generl

תחליף בשורה הזו, מה זה הבלאגן שעשיתם לו שם:


מעבר לזה, אתה יכול לוודא שהid הוא מספרי, תעשה על ידי בהצלחה..

לא חושב שמה שנתת לו יעזור לו, זה לפי דרך כתיבה.. לפי דעתי הדרך שלך פחות נוחה.
בקשר ל is_numeric - אתה צודק, אבל על אבטחה אנחנו לא מדברים עכשיו.

סניר (אני צודק?), קודם כל תוריד את הרווחים אחרי הגרש ('):

PHP קוד:

$query = mysql_query("SELECT * FROM random_users WHERE id = '". $id ."' "); 


דבר שני, אתה לא יכול לעשות isset ואז לעשות השוואה. תוריד את ההשוואה מהתנאים, אתה לא צריך אותה.(תשאיר רק את ה ISSET)

ופה:

PHP קוד:

if (isset($_GET['update']) == $id) { 


תוריד את ה ISSET.

[SniR-S]

*שניר.
וכן, כרגע פחות חשוב האבטחה.
הורדתי רווחים, והורדתי את ISSET..
מה עכשיו?

[intercooler3819]

ציטוט:

נכתב במקור על ידי Hezi & BomBas

לא חושב שמה שנתת לו יעזור לו, זה לפי דרך כתיבה.. לפי דעתי הדרך שלך פחות נוחה.
בקשר ל is_numeric - אתה צודק, אבל על אבטחה אנחנו לא מדברים עכשיו.

סניר (אני צודק?), קודם כל תוריד את הרווחים אחרי הגרש ('):

PHP קוד:

$query = mysql_query("SELECT * FROM random_users WHERE id = '". $id ."' "); 


דבר שני, אתה לא יכול לעשות isset ואז לעשות השוואה. תוריד את ההשוואה מהתנאים, אתה לא צריך אותה.(תשאיר רק את ה ISSET)

ופה:

PHP קוד:

if (isset($_GET['update']) == $id) { 


תוריד את ה ISSET.

אני בטוח שהוא לא צריך הקסה או טווחים של אינטים שכוללים E
IS_NUMERIC הוא לא בדיוק השיא אבטחה למקרה הספציצי הזה

עדיף להשתמש ב

PHP קוד:

<?php
if(preg_match("#^[0-9]+$#", $str)) return TRUE;

[AlmogBaku]

ציטוט:

נכתב במקור על ידי nitsanbn

אני בטוח שהוא לא צריך הקסה או טווחים של אינטים שכוללים E
IS_NUMERIC הוא לא בדיוק השיא אבטחה למקרה הספציצי הזה

עדיף להשתמש ב

PHP קוד:

<?php
if(preg_match("#^[0-9]+$#", $str)) return TRUE;

טיפשי לגמרי. זה אותו דבר.



ובכלל אני לא רואה סיבה למה לעבוד קשה על בדיקה כשאפשר להתעלם ממה ששגוי(intval למשתנה שרוצים להזין וחסל)

[Daniel]

אני לא מבין את שניכם, למה intval ולמה לנקות את כל מה שלא מספרים? הדוגמא הכי פשוטה, מה הבעייה עם SELECT field FROM table WHERE field1="'.mysql_real_escape_string($value).'" - דוגמא כדי להעביר את הרעיון.

[SniR-S]

סבבה לגמרי מה שאתם אומרים, כל אחד והשיטה שלו זאת שנוחה לו.
אבל אתם סטיתם לגמרי מהנושא..

[AlmogBaku]

ציטוט:

נכתב במקור על ידי MasterT

אני לא מבין את שניכם, למה intval ולמה לנקות את כל מה שלא מספרים? הדוגמא הכי פשוטה, מה הבעייה עם SELECT field FROM table WHERE field1="'.mysql_real_escape_string($value).'" - דוגמא כדי להעביר את הרעיון.

חחחחחחח למה?
כי זה מספר?!
אתה לא מכניס מספר עם גרשיים!

[daMn]

במקרה ואתה יודע שהקלט שלך הוא ערך מספרי משתמשים בהמרה (int) או לחילופין intval ואפשר גם בis_numeric על מנת לקבל ערך בוליאני בחזרה.
אין טעם להשתמש בregex, אני בטוח שהפונקציות שPHP איפשרו לנו יותר מהירות בregex.

[Daniel]

ציטוט:

נכתב במקור על ידי Baku

חחחחחחח למה?
כי זה מספר?!
אתה לא מכניס מספר עם גרשיים!

אני אודה לך אם את הדעות שלך תביע בצורה מכובדת - בין אם הן נכונות או לא.

ואתה יכול לתת לי סיבה למה לא לעשות את זה? MySQL עובד מצויין עם זה.

[daMn]

ציטוט:

נכתב במקור על ידי MasterT

אני אודה לך אם את הדעות שלך תביע בצורה מכובדת - בין אם הן נכונות או לא.

ואתה יכול לתת לי סיבה למה לא לעשות את זה? MySQL עובד מצויין עם זה.

כי הרעיון שאתה רוצה שייכנס למסד ערך שהוא מספרי וmysql_real_esacape_string לא מונע מלהכניס סטרינג.