Artur M. Piwko
Guest
Wed Nov 02, 2011 2:00 pm
In the darkest hour on Wed, 26 Oct 2011 23:17:55 +0200,
Michoo <michoo_news@vp.pl> screamed:
Quote:
ATSD ciekawe czy ktos jest na tyle lekkomyslny by zostawic wiecej niz
insert/update dla nie-sa.
Update też jest niebezpieczny jeżeli w ogóle dopuszczasz możliwość, że
małpa na stanowisku programisty może popełnić kod podatny na SQL-injection.
$var=' or true;--
update ... where column1='$var' and column2...;
Toteż w dobrze zaprojektowanych językach robi się to via:
db.execute('UPDATE ... WHERE column1 = :1 AND column2 = :2',
('cokolwiek', 'cokolwiek'))
--
[ Artur M. Piwko : Pipen : AMP29-RIPE : RLU:100918 : From == Trap! : SIG:228B ]
[ 13:59:08 user up 12974 days, 1:54, 1 user, load average: 0.75, 0.89, 0.90 ]
Hi! I'm a shareware signature! Send $5 if you use me!