sql injection

Общие вопросы по использованию фреймворка. Если не знаете как что-то сделать и это про Yii, вам сюда.
Ответить
elbek
Сообщения: 8
Зарегистрирован: 2010.09.08, 04:05

sql injection

Сообщение elbek »

Sdravstvuyte.
yesli ya napishu:

Код: Выделить всё

Marka::model()->findByPk($_GET['marka']); 
eto ne bezopasniy podhod ili framework sam predotvrshaet injections?
Аватара пользователя
samdark
Администратор
Сообщения: 9489
Зарегистрирован: 2009.04.02, 13:46
Откуда: Воронеж
Контактная информация:

Re: sql injection

Сообщение samdark »

Предотвратит.
Аватара пользователя
RusAlex
Сообщения: 324
Зарегистрирован: 2010.08.29, 15:30

Re: sql injection

Сообщение RusAlex »

не стал создавать отдельный топик, вопрос похожий, если делаю

Код: Выделить всё

         array('criteria'=>array
               ('with'=>array('link'=>array('condition'=>'domainid='.$_GET['domain']))
                ),
 
безопасно ли делать так?
каким методом предотвращаются sql injection ?
mitallast
Сообщения: 207
Зарегистрирован: 2010.02.21, 20:40
Откуда: Голицыно
Контактная информация:

Re: sql injection

Сообщение mitallast »

http://www.yiiframework.ru/doc/guide/ru/database.dao

посмотрите "Связывание параметров"
Аватара пользователя
BuCeFaL
Сообщения: 447
Зарегистрирован: 2010.03.17, 21:22
Откуда: Kiev
Контактная информация:

Re: sql injection

Сообщение BuCeFaL »

RusAlex писал(а):не стал создавать отдельный топик, вопрос похожий, если делаю

Код: Выделить всё

         array('criteria'=>array
               ('with'=>array('link'=>array('condition'=>'domainid='.$_GET['domain']))
                ),
 
безопасно ли делать так?
каким методом предотвращаются sql injection ?

тут другая ситуация насколько я понимаю. В случае с findByPk тип данных целый и гет запрос переводит строку в число.

в данном примере тип строка. \

Код: Выделить всё

         array('criteria'=>array
               ('with'=>array('link'=>array('condition'=>'domainid='.CHtml::encode(Yii::app()->request->getQuery('domain'))))
                ),
  
Ответить