Новости
Документация
Download
Webboard
Поиск
FAQ/ЧаВо
Обратная связь




MySQL.RU - Webboard



Вернуться
Выборка (Denis) 19/04/2004 - 17:53:44
      Re: Выборка (Лысенков Виталий) 20/04/2004 - 09:06:50
      Re: Выборка (Denis) 20/04/2004 - 09:42:15
      Re: Выборка (Denis) 20/04/2004 - 10:13:11
      Re: Выборка (Энкарито) 20/04/2004 - 11:44:48
      Re: Выборка (Лысенков Виталий) 20/04/2004 - 13:44:14
      Re: Выборка (Denis) 20/04/2004 - 15:40:28

> Original message text:
> From: Denis - 19/04/2004 - 17:53:44
> Subject:Выборка
> -----------------
> пишу так:
>
> $sth = $dbh->prepare( q{ SELECT * FROM news where id > 10})|| die "$DBI::errstr";
> $sth->execute;
> ...
> - выбираются все строчки, где id > 10, а пишу так:
>
> $rows=10;
> $sth = $dbh->prepare( q{ SELECT * FROM news where id > $rows})|| die "$DBI::errstr";
> $sth->execute;
> ...
>
> не выбирается ничего
> подскажите как сделать, чтобы относительно переменной выборка была (2-ой случай)???
> __
> Спасибо за ранее.
>


From: Denis - 20/04/2004 - 15:40:28
Subject:Выборка
-----------------
Ну Спасибо ребята!


У меня ещё маленький вопросик возник попутно, просто не хочу наступать на грабли ;)


$user=param('user');
# беру с url


$sth = $dbh->prepare("SELECT * FROM news where id = $user")|| die "$DBI::errstr";
$sth->execute;

не могут ли хакнуть таким образом?
типа написать в url что-то вроде:
... .pl?user=DELETE FROM news

и т.д.

я вообще не знаю толком насколько это всё реально сделать, но где-то слышал из недостоверных источников (поэтому спрашиваю здесь), что один чувак сделал форум, у которого топики выбирались как названия таблиц в базе (?t=$forum) ;)))

то есть у него скрипт имел строчку вида: SELECT * FROM $forum;
таким образом выходит подставляешь что-нибудь такое:
main; DROP TABLE main; и тогда капец форуму ;)

и вот у меня например будут новости по id выводится из таблицы

$new=param('id');
$sth = $dbh->prepare("SELECT * FROM news where id = $new")|| die "$DBI::errstr";

безопасно ли?



[Это сообщение - спам!]

Последние сообщения из форума

Уважаемые посетители форума MySQL.RU!
Убедительная просьба, прежде чем задавать свой вопрос в этом форуме, обратите внимание на разделы:
- ответы на наиболее часто задаваемые вопросы - FAQ
- раздел документация
- раздел поиск по сообщениям форума и документации
Также, старайтесь наиболее подробно указывать свою ситуацию (версию операционной системы, версию MySQL, версию программного обеспечения, по которому возникает вопрос, текст возникающих ошибок, и др.)
Помните, чем конкретнее Вы опишете ситуацию, тем больше шансов получить реальную помощь.
 Имя:
 E-mail:
 Тема:
 Текст:
Код подтверждения отправки: Code
14133



РЕКЛАМА НА САЙТЕ
  Создание сайтов | |