Javascript.RU

Создать новую тему Ответ
 
Опции темы Искать в теме
  #31 (permalink)  
Старый 27.01.2012, 20:53
что-то знаю
Отправить личное сообщение для devote Посмотреть профиль Найти все сообщения от devote
 
Регистрация: 24.05.2009
Сообщений: 5,176

Сообщение от nekto_O
$query = 'SELECT * FROM DB.simple WHERE ind IN (' . implode(",", $arr) . ')';
не удивительно почему так быстро ломают сайты
Ответить с цитированием
  #32 (permalink)  
Старый 27.01.2012, 21:12
С++/C# modest developer
Отправить личное сообщение для nekto_O Посмотреть профиль Найти все сообщения от nekto_O
 
Регистрация: 07.11.2011
Сообщений: 244

Сообщение от devote
не удивительно почему так быстро ломают сайты
а предварительно проверить содержание массива вещества не хватит? или хранимку написать на выборку?
Ответить с цитированием
  #33 (permalink)  
Старый 27.01.2012, 21:16
что-то знаю
Отправить личное сообщение для devote Посмотреть профиль Найти все сообщения от devote
 
Регистрация: 24.05.2009
Сообщений: 5,176

Сообщение от nekto_O
а предварительно проверить содержание массива вещества не хватит? или хранимку написать на выборку?
Это ты мне? именно я и удивляюсь на то что людям плевать на свой сервер. Пишут как попало. В первую очередь это сервер, и программировать серверные приложения нужно хорошо обдумывая, безопасность превыше всего. Перед запросами в БД, нужно экранировать все данные которые втыкаются в запрос, иначе могут сделать sql injection. А это и дураку понятно к чему приведет.
Ответить с цитированием
  #34 (permalink)  
Старый 27.01.2012, 21:26
что-то знаю
Отправить личное сообщение для devote Посмотреть профиль Найти все сообщения от devote
 
Регистрация: 24.05.2009
Сообщений: 5,176

ну в противном случае хотябы так прогнали бы:
implode( ',', array_map( 'mysql_real_escape_string', $arr ) )
Куда меньше возможностей сделать инъекцию.
Ответить с цитированием
  #35 (permalink)  
Старый 27.01.2012, 21:27
С++/C# modest developer
Отправить личное сообщение для nekto_O Посмотреть профиль Найти все сообщения от nekto_O
 
Регистрация: 07.11.2011
Сообщений: 244

Сообщение от devote
Перед запросами в БД, нужно экранировать все данные которые втыкаются в запрос, иначе могут сделать sql injection
Сообщение от nekto_O
предварительно проверить и обработать массив
лады пусть так (!)
Сообщение от devote
А это и дураку понятно к чему приведет
Если уж на то пошло, тогда и
select * from ...
это быдло-запрос)))
Ответить с цитированием
  #36 (permalink)  
Старый 27.01.2012, 21:30
что-то знаю
Отправить личное сообщение для devote Посмотреть профиль Найти все сообщения от devote
 
Регистрация: 24.05.2009
Сообщений: 5,176

Сообщение от nekto_O
это быдло-запрос)))
смотря в каких случаях, если таблица огромная, то конечно использование знака "*", приводит к нагрузке... Если же в таблице пусть максимум и сотня записей, это не сильно страшно.
Ответить с цитированием
  #37 (permalink)  
Старый 27.01.2012, 21:43
Аспирант
Отправить личное сообщение для diagnost Посмотреть профиль Найти все сообщения от diagnost
 
Регистрация: 30.10.2008
Сообщений: 47

Что-нибудь в этом роде будет работать?
<INPUT type = "hidden" name = "Yes" value=<script>JSON.stringify(arr)</script>>
Ответить с цитированием
  #38 (permalink)  
Старый 27.01.2012, 21:44
С++/C# modest developer
Отправить личное сообщение для nekto_O Посмотреть профиль Найти все сообщения от nekto_O
 
Регистрация: 07.11.2011
Сообщений: 244

Сообщение от devote
смотря в каких случаях, если таблица огромная, то конечно использование знака "*", приводит к нагрузке... Если же в таблице пусть максимум и сотня записей, это не сильно страшно.
вообще, если по уму, то для выборки вьюхи надо использовать, а для инсерта/апдейта/делита хранимки. А за select * from внутри outer apply вообще расстреливать надо...
Ответить с цитированием
  #39 (permalink)  
Старый 27.01.2012, 21:53
что-то знаю
Отправить личное сообщение для devote Посмотреть профиль Найти все сообщения от devote
 
Регистрация: 24.05.2009
Сообщений: 5,176

Сообщение от nekto_O
вообще, если по уму, то для выборки вьюхи надо использовать, а для инсерта/апдейта/делита хранимки. А за select * from внутри outer apply вообще расстреливать надо...
Дык ты так и не понял к чему я поднял этот разговор? Мне срать кто что и как там использует. Я написал не потому что автор что-то там юзает, а потому что ты дал ГОВЕНЫЙ пример спрашивающему, именно от таких примеров и рождаются говнокодеры. Либо давай нормальный полный пример, либо ничего не давай. А растить и помогать появляться говнокодерам себе же в минус. Так как ты немного забыл о том что в недалеком будущем, этот код может попасться тебе, если кто-то попросит тебя его доделать/переделать и сам же будешь плеваться от того что там понаписано.
Ответить с цитированием
  #40 (permalink)  
Старый 27.01.2012, 22:01
Аспирант
Отправить личное сообщение для diagnost Посмотреть профиль Найти все сообщения от diagnost
 
Регистрация: 30.10.2008
Сообщений: 47

Сейчас проверил на другом примере: JSON работает в firefox, в IE нет.
Ответить с цитированием
Ответ



Опции темы Искать в теме
Искать в теме:

Расширенный поиск


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Решение проблемы кодировок для AJAX и PHP без iconv (cp1251 в AJAX) Serge Ageyev AJAX и COMET 10 24.04.2013 19:48
php + javascript, проверка капчи zhuzha Общие вопросы Javascript 10 02.06.2010 12:30
Как передать картинку из javascript в php KIVagant AJAX и COMET 3 12.05.2010 10:54
javascript и php (Вопрос) Гауляйтер Общие вопросы Javascript 3 06.05.2009 08:23
JAVASCRIPT в цикле PHP Nobls Общие вопросы Javascript 3 04.12.2008 16:51