Ответ

Misha v.3 30.04.2008 15:31

1. 123 и '123' в SQL запросе -- две большие разницы, rtfm;
2. как вам уже написали, SQL injection в случае с парсер-ом не будет (спасибо taint-ингу, который впрочем вы можете запросто сломать, написав вокруг SQL запроса ^taint[as-is][...]), в чем вы могли убедиться опробовав ваш код;
3. упомянутая вами 'защита' элементарно обходится добавлением в query string в нужных местах апострофа (если вы таки написали ^taint[as-is][]);
4. защищаться от некорректной подстановки в запрос букв вместо чисел надо не с помощью апострофов, а с помощью преобразований к числу: '... where id = ^form:id.int(0)'
5. про это написано на странице с описанием taint/untaint.

Добавить в мануал..., Modjo7 30.04.2008 14:33
- Решение..., Sumo [M] 30.04.2008 23:46 / 30.04.2008 23:48
  - пояснения, Misha v.3 [M] 01.05.2008 01:20 / 04.05.2008 16:34
- Ответ, Misha v.3 [M] 30.04.2008 15:31
  - Каюсь, проверял только локально, на денвере..., Modjo7 30.04.2008 15:39
- вы проверили это утверждение или так просто думаете? (-), Maxx [M] 30.04.2008 14:42
  - Конечно проверил (-), Modjo7 30.04.2008 14:46
    - И что получилось?, G_Z [M] 30.04.2008 14:54
      - Ответ, Modjo7 30.04.2008 15:19
- в смысле, user 30.04.2008 14:37

Новости	FAQ	Авторы	Документация	В действии	Библиотека
Инструменты	Полезные ссылки	Хостинги	Скачать	Примеры	Форум