Старый 15.12.2011, 07:21   #11
Мне повезёт!
 
Аватар для Alexey
 
Регистрация: 05.05.2007
Сообщений: 1,076
Вес репутации: 275
Alexey - прекрасное будущееAlexey - прекрасное будущееAlexey - прекрасное будущееAlexey - прекрасное будущееAlexey - прекрасное будущееAlexey - прекрасное будущееAlexey - прекрасное будущееAlexey - прекрасное будущееAlexey - прекрасное будущееAlexey - прекрасное будущееAlexey - прекрасное будущее
По умолчанию

А все понял… Тогда так, да.
__________________
Everything will be great in the end.
If it's not great, it's not the end.
Alexey вне форума   Ответить с цитированием
Старый 15.12.2011, 10:49   #12
Монстер
 
Аватар для VAU
 
Регистрация: 30.12.2008
Адрес: Монстрополис
Сообщений: 2,496
Вес репутации: 371
VAU - прекрасное будущееVAU - прекрасное будущееVAU - прекрасное будущееVAU - прекрасное будущееVAU - прекрасное будущееVAU - прекрасное будущееVAU - прекрасное будущееVAU - прекрасное будущееVAU - прекрасное будущееVAU - прекрасное будущееVAU - прекрасное будущее
По умолчанию

Цитата:
Сообщение от Последний Герой Посмотреть сообщение
ТСу надо сначала отсортировать по одному полю, затем отобрать топ, затем уже сам этот топ пересортировать по другому.
Совершенно верно.
__________________
Монстры тоже люди
VAU вне форума   Ответить с цитированием
Старый 25.01.2012, 14:40   #13
Специалист
 
Аватар для Yurs
 
Регистрация: 27.11.2007
Адрес: Пенза
Сообщений: 465
Вес репутации: 217
Yurs - просто великолепная личностьYurs - просто великолепная личностьYurs - просто великолепная личностьYurs - просто великолепная личностьYurs - просто великолепная личностьYurs - просто великолепная личностьYurs - просто великолепная личностьYurs - просто великолепная личность
Отправить сообщение для Yurs с помощью ICQ
По умолчанию

У меня есть вопрос, решил не создавать новую тему, а написать сюда.

например ищу в бд текст

"SELECT чтототам FROM гдетотам LIKE '%".$safesearch."%';

если
$safesearch = "dim\'s", то он не найдет в БД "111dim's222" из-за слеша ...

а если не экранировать кавычки, то возможна SQL-инъекция.

т.е. проблема в том, как безопасно найти строку с кавычками в БД
__________________
Русскоязычный фан-клуб Avril Lavigne
Yurs вне форума   Ответить с цитированием
Старый 25.01.2012, 17:49   #14
Монстер
 
Аватар для VAU
 
Регистрация: 30.12.2008
Адрес: Монстрополис
Сообщений: 2,496
Вес репутации: 371
VAU - прекрасное будущееVAU - прекрасное будущееVAU - прекрасное будущееVAU - прекрасное будущееVAU - прекрасное будущееVAU - прекрасное будущееVAU - прекрасное будущееVAU - прекрасное будущееVAU - прекрасное будущееVAU - прекрасное будущееVAU - прекрасное будущее
По умолчанию

Yurs, Попробуйте вместо апострофа это:

Цитата:
'
__________________
Монстры тоже люди

Последний раз редактировалось VAU; 25.01.2012 в 17:50. Причина: Добавлено сообщение
VAU вне форума   Ответить с цитированием
Старый 25.01.2012, 18:22   #15
Печник
 
Аватар для ubuntu
 
Регистрация: 11.10.2009
Адрес: Наш мир
Сообщений: 2,060
Вес репутации: 231
ubuntu - за этого человека можно гордитсяubuntu - за этого человека можно гордитсяubuntu - за этого человека можно гордитсяubuntu - за этого человека можно гордитсяubuntu - за этого человека можно гордитсяubuntu - за этого человека можно гордитсяubuntu - за этого человека можно гордитсяubuntu - за этого человека можно гордитсяubuntu - за этого человека можно гордитсяubuntu - за этого человека можно гордится
По умолчанию

Цитата:
Сообщение от Yurs Посмотреть сообщение
У меня есть вопрос, решил не создавать новую тему, а написать сюда.

например ищу в бд текст

"SELECT чтототам FROM гдетотам LIKE '%".$safesearch."%';

если
$safesearch = "dim\'s", то он не найдет в БД "111dim's222" из-за слеша ...

а если не экранировать кавычки, то возможна SQL-инъекция.

т.е. проблема в том, как безопасно найти строку с кавычками в БД
В БД надо хранить чистый текст. Поступающие запросы и вывод из базы клиентам, надо обезопасить. Как - читайте, учитесь. Все это уже расписано и пережовано сто пятьсот раз.

Смешно, поддавану своему это разжовывать пришлось в конце того года. Чему нынче в институтах учат - непонятно.
__________________
Сайты на Друпале, я держу здесь.
ubuntu вне форума   Ответить с цитированием
Старый 25.01.2012, 18:57   #16
Эксперт
 
Регистрация: 12.12.2009
Адрес: Ростов-на-Дону
Сообщений: 1,537
Вес репутации: 241
eresik - прекрасное будущееeresik - прекрасное будущееeresik - прекрасное будущееeresik - прекрасное будущееeresik - прекрасное будущееeresik - прекрасное будущееeresik - прекрасное будущееeresik - прекрасное будущееeresik - прекрасное будущееeresik - прекрасное будущееeresik - прекрасное будущее
По умолчанию

Цитата:
Сообщение от ubuntu Посмотреть сообщение
В БД надо хранить чистый текст
Да вроде бы как раз так не принято.
По крайней мере в друпале - в базу заносится именно то что вводит пользователь (со всеми иньекциями, всеми тегами и т.п.).
А уж при выводе применяются те или иные фильтры.
__________________
Партнёрка знакомств с блоком SAPE. Сапа без расходов на хостинг!
Самый удобный Хостинг (в т.ч. сейчас - бесплатное полугодовое тестирование хостинга Node.JS)

Последний раз редактировалось eresik; 25.01.2012 в 19:03.
eresik вне форума   Ответить с цитированием
Старый 25.01.2012, 19:08   #17
Вредина
 
Аватар для Jooz
 
Регистрация: 03.07.2007
Адрес: д.Коноплянка
Сообщений: 3,535
Вес репутации: 431
Jooz - прекрасное будущееJooz - прекрасное будущееJooz - прекрасное будущееJooz - прекрасное будущееJooz - прекрасное будущееJooz - прекрасное будущееJooz - прекрасное будущееJooz - прекрасное будущееJooz - прекрасное будущееJooz - прекрасное будущееJooz - прекрасное будущее
По умолчанию

Цитата:
Сообщение от eresik Посмотреть сообщение
Да вроде бы как раз так не принято.
Ошибаетесь: если что-то, куда-то передается, то это запрос GET / POST или PUT на худой конец, соответственно если в момент передачи запрос не очищен - это угроза. Чистить нужно ДО передачи, для этого и пишутся всякие валидаторы передаваемых данных, а не обработчики имеющихся данных.
__________________
Чтобы произошло чудо нужно обязательно дунуть. Если не дунуть - чуда не произойдет!
Jooz вне форума   Ответить с цитированием
Старый 25.01.2012, 19:15   #18
Эксперт
 
Регистрация: 12.12.2009
Адрес: Ростов-на-Дону
Сообщений: 1,537
Вес репутации: 241
eresik - прекрасное будущееeresik - прекрасное будущееeresik - прекрасное будущееeresik - прекрасное будущееeresik - прекрасное будущееeresik - прекрасное будущееeresik - прекрасное будущееeresik - прекрасное будущееeresik - прекрасное будущееeresik - прекрасное будущееeresik - прекрасное будущее
По умолчанию

Цитата:
Сообщение от Jooz Посмотреть сообщение
если в момент передачи запрос не очищен - это угроза.
Пример.
__________________
Партнёрка знакомств с блоком SAPE. Сапа без расходов на хостинг!
Самый удобный Хостинг (в т.ч. сейчас - бесплатное полугодовое тестирование хостинга Node.JS)
eresik вне форума   Ответить с цитированием
Старый 25.01.2012, 19:29   #19
Печник
 
Аватар для ubuntu
 
Регистрация: 11.10.2009
Адрес: Наш мир
Сообщений: 2,060
Вес репутации: 231
ubuntu - за этого человека можно гордитсяubuntu - за этого человека можно гордитсяubuntu - за этого человека можно гордитсяubuntu - за этого человека можно гордитсяubuntu - за этого человека можно гордитсяubuntu - за этого человека можно гордитсяubuntu - за этого человека можно гордитсяubuntu - за этого человека можно гордитсяubuntu - за этого человека можно гордитсяubuntu - за этого человека можно гордится
По умолчанию

Цитата:
Сообщение от eresik Посмотреть сообщение
Пример.
Лучше вы пример привидете, раз про друпал заговорили.
Что клиент написал, что в в базу записалось.
Похоже вы меня не поняли.

Добавлено через 3 минуты
Например соль популярность получила, когда кавычки не обрабатывались правильно.
__________________
Сайты на Друпале, я держу здесь.

Последний раз редактировалось ubuntu; 25.01.2012 в 19:29. Причина: Добавлено сообщение
ubuntu вне форума   Ответить с цитированием
Старый 25.01.2012, 20:29   #20
Специалист
 
Аватар для Yurs
 
Регистрация: 27.11.2007
Адрес: Пенза
Сообщений: 465
Вес репутации: 217
Yurs - просто великолепная личностьYurs - просто великолепная личностьYurs - просто великолепная личностьYurs - просто великолепная личностьYurs - просто великолепная личностьYurs - просто великолепная личностьYurs - просто великолепная личностьYurs - просто великолепная личность
Отправить сообщение для Yurs с помощью ICQ
По умолчанию

Очистил БД от кавычек в явной форме, заменив их эквивалентами, пожалуй это самое верное решение, да ...
__________________
Русскоязычный фан-клуб Avril Lavigne
Yurs вне форума   Ответить с цитированием
Ответ

Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Вопрос к знатокам MySQL a112 Курилка 14 17.07.2011 20:35
Вопрос к знатокам ПС про favicon.ico Lenka Курилка 4 31.12.2010 14:24
Вопрос знатокам Друпала magura888 Разработка и сопровождение сайтов 0 01.10.2010 13:34
Вопрос к знатокам Wordpress. nikonoff Курилка 5 19.07.2010 13:16
Фон страницы и css - вопрос к знатокам Globalzru Разработка и сопровождение сайтов 18 13.12.2009 19:09


Часовой пояс GMT +3, время: 05:25.