1. PHP / Говнокод #2874

    +160.2

    1. 01
    2. 02
    3. 03
    4. 04
    5. 05
    6. 06
    7. 07
    8. 08
    9. 09
    10. 10
    11. 11
    12. 12
    13. 13
    14. 14
    15. 15
    16. 16
    17. 17
    18. 18
    19. 19
    function createCategory(){
	global $_POST,$_SESSION;
	$result = mysql_query(sprintf("INSERT INTO `categories` (`id` ,`name` ,`description`)
									VALUES (NULL , %s, %s);",
	$this->prepare($_POST['name']), $this->prepare($_POST['description'])));
	
	return $result?true:false;
}
function prepare($data,$type = 'other'){
		if($type == 'other'){
		if(is_numeric($data) or is_float($data)){
			return "'".$data."'";
		}else if(is_string($data)){
			return "'".mysql_real_escape_string($data)."'";
		}
		}else if($type == 'pswd'){
			return "'".sha1($data.SECRET_WORD)."'";
		}
	}

    Насколько это защищено от sql injection?

    Запостил: DanxilLs, 26 Марта 2010

    Комментарии (17) RSS

    • ava comnimh 26.03.2010 20:10 # 0

      Хм, а че intval'а-то нету в numeric?
      Ответить

    • ava DanxilLs 26.03.2010 20:11 # +1.2

      Дык если там цифры и так, смысл делать intval();?
      Ответить

    • ava guest 26.03.2010 20:14 # 0

      вроде все норм)
      Ответить

    • ava murz 26.03.2010 20:27 # +7.2

      global $_POST,$_SESSION; это классно :)
      Ответить

      • ava DanxilLs 26.03.2010 20:29 # −2.2

        Функция недоработанная... будет еще добавляться функционал именно поэтому там прописана эта инструкция)
        Ответить

        • ava murz 26.03.2010 20:34 # +1.2

          Для любой функции не надо объявлять $_POST,$_SESSION как глобальные :)
          Ответить

          • ava guest 26.03.2010 21:05 # +2

            они суперглобальные
            Ответить

            • ava murz 26.03.2010 22:12 # −2.2

              Спасибо. Вы думаете, я не знаю как эти переменные называются?
              Ответить

              • ava guest 27.03.2010 12:05 # +2

                Кэп каг-бэ намекает, что глобальные и суперглобальные переменные — вещи разные.
                Ответить

                • ava murz 27.03.2010 17:20 # +0.2

                  А теперь прочитайте строку 2 словами

                  - Объявить переменные $_POST,$_SESSION глобальными.

                  Поэтому и писал, что не надо эти переменные объявлять как глобальные
                  Ответить

    • ava wwwguru 26.03.2010 21:24 # +0.2

      > $this->prepare($_POST['name'])
      Откройте для себя mysqli - http://php.net/manual/en/mysqli.prepare.php
      Ответить

      • ava DanxilLs 26.03.2010 21:28 # 0

        Все было бы класс конечно, но я как то разрабатывал cms с использованием PDO а когда переносил проект на паблик сервер оказалось что там нет поддержки PDO
        Ответить

        • ava striker 27.03.2010 04:18 # 0

          причем тут PDO?
          Ответить

          • ava DanxilLs 28.03.2010 12:17 # 0

            А при том что буду разрабатывать все под mysqli или pdo а на хосте окажется такого нету, либо отключенно
            Ответить

            • ava striker 28.03.2010 13:34 # +3

              так это хостинг надо подбирать под требования проекта, а не наоборот
              Ответить

    • ava Death 27.03.2010 04:31 # +1

      В конце ф-ии поставь return 'NULL'; на всякий случай... если ни один type не совпадёт
      Ответить

    • ava Death 27.03.2010 04:35 # −2.4

      А лучше сделать ебёртку над INSERT INTO

      sql_insert(array_tempaltes, array_values) и передавай два массива ей...
      array('%s','%s') и array($_POST['name'],$_POST['description']);
      а там уже препарируй параметры и вызывай sql->query...
      и будет намного проще
      Ответить

    Добавить комментарий