MySQL lekérdezés megvalósítása PHP-ban
2010-12-15T16:05:47+01:00
2010-12-15T16:43:37+01:00
2022-07-19T05:17:56+02:00
  • Arra gondolsz, hogy pl így ne csináljunk?

    'SELECT * FROM tabla WHERE feltetel = "'.$valami_string_user_input.'"

    Akkor az igaz, mert így bármit bele tud irni a kedves user a feltételek közé.

    Helyette használhatsz prepared statementet:
    http://hu.php.net/manual/en/mysqli.prepare.php

    Vagy egyéb külső adatbázis rétegeket, amiket általában a keretrendszerek tartalmaznak.
    Mutasd a teljes hozzászólást!
  • Például:
    $query = "SELECT * FROM `table` WHERE `column1`='".$value1."' AND `column2`='".$value2."' LIMIT ".$start.",".$row.";";
    Mutasd a teljes hozzászólást!
  • konkrétabban kifejthetnéd mit értesz sztring-műveletek alatt?

    sztring művelet sok esetben azért kell egy rendszernél, mert nem megfelelően találták ki a táblaszerkezeteket.

    PL: userek elmentett kategóriáit ha vesszővel elválasztott listával és így egy vegyes mezőtípusba tárolsz, akkor szükséges az utólagos PHP hardcodolás.
    Gondolom ilyenre gondolhatsz.
    Mutasd a teljes hozzászólást!
  • A PHP és MySQL témákban már sok lenéző hozzászólást találtam a string-műveletekkel előállított lekérdezésekre. Ki milyen formát használ erre és miért? Értem ezalatt a biztonságot, újrahasznosíthatóságot, stb.
    Mutasd a teljes hozzászólást!
abcd