Добро пожаловать, Гость!
* Войти Зарегистрироваться
:: + Добавить ссылку через биллинг :: + Добавить ссылку анонимно
Дневник - Защита от sql инъекций
* Дневники | Reactor | Защита от sql инъекций
Reactor : Защита от sql инъекций21 Фев 2014

<?php 
/** 
* Защита от sql инъекций при помощи pdo_mysql 
* автор: Nc_Soft 
* 19.12.10 
*/ 
$host 'localhost'//хост 
$db 'database_name'//база данных 
$user 'root'//юзер 
$password 'password'//пароль 
//соединяемся 
$db = new PDO("mysql:host=$host;dbname=$db"$user$password
array(PDO::MYSQL_ATTR_INIT_COMMAND => "SET NAMES utf8")); 
//делаем sql запрос на создание таблицы (id|user|time) 
$q $db->prepare("CREATE TABLE IF NOT EXISTS `test` ( 
`id` int(10) unsigned NOT NULL auto_increment, 
`user` varchar(20) NOT NULL, 
`time` timestamp NOT NULL default CURRENT_TIMESTAMP, 
PRIMARY KEY (`id`) 
) ENGINE=MyISAM DEFAULT CHARSET=utf8; "); 
//выполняем запрос 
$q->execute(); 
//теперь давайте добавим запись 
$q $db->prepare("INSERT INTO test SET user=? ");
$q->execute(array('имя1')); 
/* 
в таблице добавилась запись 
обратите внимание, что я не использовал никакие функции для фильтрации 
(mysql_real_escape_string и подобные), просто обозначит placeholder куда вставить 
значение через ?, а потом при execute задал значение массивом 
*/ 
//давайте теперь изменим добавленную запись 
//получаем последний добавленный ид 
$id $db->lastInsertId(); 
//запрос на update 
$db->prepare("UPDATE test SET user=? WHERE id=? ")->execute(array("новое ' имя"$id)); 
/* 
Обратите внимание, сейчас я воспользовался цепочкой вызовов ->()-> 
чтобы не заводить переменную $q как в примерах выше. 
Параметры в массиве должны идти в строгом порядке, как в запросе, 
действительно, будет нелепо перепутать id и name местами ;) 
Даже не смотря на то, что в параметре присутствует кавычка запрос выполянется нормально, 
pdo все экранирует самостоятельно. 
*/ 
//если не нравятся ? или хотите изменить порядок, можно заюзать именнованные параметры 
$db->prepare("INSERT INTO test SET user=:user ")->execute(array(':user'=>'новый юзер')); 
/* 
Теперь массив с параметрами не такой безликий как раньше, какой способ задания параметров 
выбрать решайте сами 
*/ 
//Ну и напоследок: как извлекать записи 
$q $db->prepare("SELECT * FROM test"); 
$q->execute(); 
$data $q->fetchAll(); 
print_r($data);
//подробную информацию о pdo_mysql вы всегда можете найти в гугле 
?>



Категория: Полезные коды
« Пред. 371 из 650 След. »
31 1 0 * 0 * 0
* Добавить в закладки
В закладках у 1 чел.
Комментарии: (2)
Reactor 22 Фев 2014
Кто незнает ПиАшПи (PHP), тот даже может не пытался ставить код... Выучите основы ПиАшПи, потом беритесь за скрипты...
КОТ * 22 Фев 2014
пиши там куда ставлят и.т.д
* Дневники | Reactor | Защита от sql инъекций
DCMS-Social.ru - движок социальной сети, вап и веб мастерская, файло-обменник и форум.
Статистика DCMS-Social.ru: Пользователей - 14967, тем на форуме - 30292, сообщений - 298885
Размещение рекламы
PGen: 0.114сек
© 2012 - 2024 гг.
www.megastock.com Statok.net GiStaT.RU - Рейтинг мобильных сайтов KatStat.ru - Топ рейтинг сайтов