Добавить в мануал...

Modjo7 30.04.2008 14:33

В раздел "переходим к работе БД".

Нигде там не нашёл, почему в запросе поля, пришедшие от пользователя, надо заключать в кавычки, т.е. '$form:text'.

Если забыть, код

$t[^table::sql{select somecolumn from sometable where id = $form:id}]

с удовольствием кушает sql-injections

somesite.ru/?id=1;drop%20table%20sometable

Предлагаю добавить в мануал предупреждение (выделить красным), чтоб не забывали про это. Будет полезно, особенно новичкам.

Добавить в мануал..., Modjo7 30.04.2008 14:33
- Решение..., Sumo [M] 30.04.2008 23:46 / 30.04.2008 23:48
  - пояснения, Misha v.3 [M] 01.05.2008 01:20 / 04.05.2008 16:34
- Ответ, Misha v.3 [M] 30.04.2008 15:31
  - Каюсь, проверял только локально, на денвере..., Modjo7 30.04.2008 15:39
- вы проверили это утверждение или так просто думаете? (-), Maxx [M] 30.04.2008 14:42
  - Конечно проверил (-), Modjo7 30.04.2008 14:46
    - И что получилось?, G_Z [M] 30.04.2008 14:54
      - Ответ, Modjo7 30.04.2008 15:19
- в смысле, user 30.04.2008 14:37

Новости	FAQ	Авторы	Документация	В действии	Библиотека
Инструменты	Полезные ссылки	Хостинги	Скачать	Примеры	Форум