27.01.2012, 22:53
|
|
что-то знаю
|
|
Регистрация: 24.05.2009
Сообщений: 5,176
|
|
|
Сообщение от nekto_O
|
|
$query = 'SELECT * FROM DB.simple WHERE ind IN (' . implode(",", $arr) . ')';
|
не удивительно почему так быстро ломают сайты |
|
27.01.2012, 23:12
|
|
С++/C# modest developer
|
|
Регистрация: 07.11.2011
Сообщений: 244
|
|
|
Сообщение от devote
|
|
не удивительно почему так быстро ломают сайты
|
а предварительно проверить содержание массива вещества не хватит? или хранимку написать на выборку? |
|
27.01.2012, 23:16
|
|
что-то знаю
|
|
Регистрация: 24.05.2009
Сообщений: 5,176
|
|
|
Сообщение от nekto_O
|
|
а предварительно проверить содержание массива вещества не хватит? или хранимку написать на выборку?
|
Это ты мне? именно я и удивляюсь на то что людям плевать на свой сервер. Пишут как попало. В первую очередь это сервер, и программировать серверные приложения нужно хорошо обдумывая, безопасность превыше всего. Перед запросами в БД, нужно экранировать все данные которые втыкаются в запрос, иначе могут сделать sql injection. А это и дураку понятно к чему приведет. |
|
27.01.2012, 23:26
|
|
что-то знаю
|
|
Регистрация: 24.05.2009
Сообщений: 5,176
|
|
ну в противном случае хотябы так прогнали бы:
implode( ',', array_map( 'mysql_real_escape_string', $arr ) )
Куда меньше возможностей сделать инъекцию. |
|
27.01.2012, 23:27
|
|
С++/C# modest developer
|
|
Регистрация: 07.11.2011
Сообщений: 244
|
|
|
Сообщение от devote
|
|
Перед запросами в БД, нужно экранировать все данные которые втыкаются в запрос, иначе могут сделать sql injection
|
|
Сообщение от nekto_O
|
|
предварительно проверить и обработать массив
|
лады пусть так (!) 
|
Сообщение от devote
|
|
А это и дураку понятно к чему приведет
|
Если уж на то пошло, тогда и
select * from ...
это быдло-запрос))) |
|
27.01.2012, 23:30
|
|
что-то знаю
|
|
Регистрация: 24.05.2009
Сообщений: 5,176
|
|
|
Сообщение от nekto_O
|
|
это быдло-запрос)))
|
смотря в каких случаях, если таблица огромная, то конечно использование знака " *", приводит к нагрузке... Если же в таблице пусть максимум и сотня записей, это не сильно страшно. |
|
27.01.2012, 23:43
|
|
Аспирант
|
|
Регистрация: 30.10.2008
Сообщений: 47
|
|
Что-нибудь в этом роде будет работать?
<INPUT type = "hidden" name = "Yes" value=<script>JSON.stringify(arr)</script>>
|
|
27.01.2012, 23:44
|
|
С++/C# modest developer
|
|
Регистрация: 07.11.2011
Сообщений: 244
|
|
|
Сообщение от devote
|
|
смотря в каких случаях, если таблица огромная, то конечно использование знака "*", приводит к нагрузке... Если же в таблице пусть максимум и сотня записей, это не сильно страшно.
|
вообще, если по уму, то для выборки вьюхи надо использовать, а для инсерта/апдейта/делита хранимки. А за select * from внутри outer apply вообще расстреливать надо... |
|
27.01.2012, 23:53
|
|
что-то знаю
|
|
Регистрация: 24.05.2009
Сообщений: 5,176
|
|
|
Сообщение от nekto_O
|
|
вообще, если по уму, то для выборки вьюхи надо использовать, а для инсерта/апдейта/делита хранимки. А за select * from внутри outer apply вообще расстреливать надо...
|
Дык ты так и не понял к чему я поднял этот разговор? Мне срать кто что и как там использует. Я написал не потому что автор что-то там юзает, а потому что ты дал ГОВЕНЫЙ пример спрашивающему, именно от таких примеров и рождаются говнокодеры. Либо давай нормальный полный пример, либо ничего не давай. А растить и помогать появляться говнокодерам себе же в минус. Так как ты немного забыл о том что в недалеком будущем, этот код может попасться тебе, если кто-то попросит тебя его доделать/переделать и сам же будешь плеваться от того что там понаписано. |
|
28.01.2012, 00:01
|
|
Аспирант
|
|
Регистрация: 30.10.2008
Сообщений: 47
|
|
|
Сейчас проверил на другом примере: JSON работает в firefox, в IE нет.
|
|
|
|
