php.de

Zurück   php.de > Webentwicklung > PHP-Fortgeschrittene
Variablen-Filterung ausreichend? Variablen-Filterung ausreichend?
Wiki Registrieren Grundlagen Suchen Heutige Beiträge Alle Foren als gelesen markieren

PHP-Fortgeschrittene Arbeiten mit PHP ohne Einschränkungen

Antwort
Seite 2 von 2 < 1 2
 
LinkBack Themen-Optionen Thema bewerten
Alt 01.09.2009, 21:25  
moderatives Dielektrikum
 
Benutzerbild von nikosch
 
Registriert seit: 21.05.2008
Beiträge: 35.987
PHP-Kenntnisse:
Fortgeschritten
nikosch hat eine strahlende Zukunftnikosch hat eine strahlende Zukunftnikosch hat eine strahlende Zukunftnikosch hat eine strahlende Zukunftnikosch hat eine strahlende Zukunftnikosch hat eine strahlende Zukunftnikosch hat eine strahlende Zukunftnikosch hat eine strahlende Zukunftnikosch hat eine strahlende Zukunftnikosch hat eine strahlende Zukunftnikosch hat eine strahlende Zukunft
Standard
Zitat:
Dass deine Zahlen nicht gequotet sind, erspart dir ohne Adapter nicht die Arbeit, die String-Quotes zu ersetzen.

Ich glaub nur, dass es zumindest minimal anfälliger ist, das Casten auf INT mal zu vergessen, als wenn du komplett immer quotest.
Ich denke es geht darum:

PHP-Code:
$limit '1 OR 1=1';

$limit = (int) $limit// sicher
$q 'SELECT bla WHERE bla = ' $limit;
// vs.
$limit = (int) $limit// sicher
$q 'SELECT bla WHERE bla = "' $limit '"';
// vs.
$limit mysql_real_escape_string ($limit $con); // unsicher
$q 'SELECT bla WHERE bla = ' $limit;
// vs.
$limit mysql_real_escape_string ($limit $con); // sicher
$q 'SELECT bla WHERE bla = "' $limit '"'
__________________
--
One pixel is still too big. Please make it smaller. ASAP.

Initiative Mittelstand.
Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers.
--
nikosch ist offline   Mit Zitat antworten
Sponsor Mitteilung
PHP Code Flüsterer

Registriert seit: 21.08.2005
Beiträge: 4682
PHP-Kenntnisse:
Fortgeschritten

Alt 02.09.2009, 10:08  
Erfahrener Benutzer
 
Registriert seit: 02.09.2009
Beiträge: 1.019
PHP-Kenntnisse:
Fortgeschritten
mquadrat befindet sich auf einem aufstrebenden Ast
Standard
Zitat:
Zitat von robo47 Beitrag anzeigen
Alles bietet eigentlich mittlerweile prepared statements an, da muss man sich um die hochkommas und das escapen gar keine gedanken mehr machen, ob das ein string oder ein int ist, darum kümmert sich das system von selbst
mysqli tut das das IMHO nicht. Dort muss man bei Prepared Statements den Datentyp des Parameters mit angeben. Insofern ist PDO eindeutig vorzuziehen.
mquadrat ist offline   Mit Zitat antworten
Alt 02.09.2009, 10:32  
Erfahrener Benutzer
 
Registriert seit: 28.05.2008
Beiträge: 2.094
PHP-Kenntnisse:
Fortgeschritten
rudygotya ist einfach richtig nettrudygotya ist einfach richtig nettrudygotya ist einfach richtig nettrudygotya ist einfach richtig nettrudygotya ist einfach richtig nett
Standard
@ nikosch: genau darum gings
__________________
++++ Wieder einer ins Netz gegangen: Phishers Fritz zufrieden ++++
Blog
rudygotya ist offline   Mit Zitat antworten
Alt 02.09.2009, 12:22  
Erfahrener Benutzer
 
Benutzerbild von mermshaus
 
Registriert seit: 14.06.2009
Beiträge: 1.731
PHP-Kenntnisse:
Fortgeschritten
mermshaus kann auf vieles stolz seinmermshaus kann auf vieles stolz seinmermshaus kann auf vieles stolz seinmermshaus kann auf vieles stolz seinmermshaus kann auf vieles stolz seinmermshaus kann auf vieles stolz seinmermshaus kann auf vieles stolz seinmermshaus kann auf vieles stolz seinmermshaus kann auf vieles stolz sein
Standard
Wo wir es gerade davon haben und ich mich das immer schon gefragt habe:

Zitat:
Before MySQL 5.1.17, prepared statements do not use the query cache. Beginning with 5.1.17, prepared statements use the query cache under certain conditions, which differ depending on the preparation method: [...]

Gibt es dazu Meinungen?
mermshaus ist offline   Mit Zitat antworten
Alt 02.09.2009, 12:47  
Erfahrener Benutzer
 
Registriert seit: 16.07.2005
Beiträge: 1.007
PHP-Kenntnisse:
Fortgeschritten
brian johnson befindet sich auf einem aufstrebenden Ast
Standard
Zitat:
Zitat von mermshaus Beitrag anzeigen
Wo wir es gerade davon haben und ich mich das immer schon gefragt habe:




Gibt es dazu Meinungen?
Zitat:
A query also is not cached under these conditions:

a) Statements within transactions that use SERIALIZABLE isolation level also cannot be cached because they use LOCK IN SHARE MODE locking.

b) It generates warnings.
mir - der Transaktionen und Prepared Statements liebend gerne einsetzt - kommts so vor, das der query cache überschätzt wird, denn er hilft meinem eindruck nach nur wenn nur wenn:

a) nicht viele verschiedene querys auf dem server laufen
b) und (wegen a) ) die query zeitlich nah beeinander liegen.
c) das ergebnis nicht größer ist als die max. cache größe

deswegen ist das debuggen, wann der cache greift schwierig und das ergebnis ist oft kaum messbar.
__________________
PHP4?!?>>>Aktuelle PHP Version: 5.2.11 || 5.3.0
Suse 11.2 *vorfreude*
brian johnson ist offline   Mit Zitat antworten
Alt 03.09.2009, 02:15  
Erfahrener Benutzer
 
Benutzerbild von mermshaus
 
Registriert seit: 14.06.2009
Beiträge: 1.731
PHP-Kenntnisse:
Fortgeschritten
mermshaus kann auf vieles stolz seinmermshaus kann auf vieles stolz seinmermshaus kann auf vieles stolz seinmermshaus kann auf vieles stolz seinmermshaus kann auf vieles stolz seinmermshaus kann auf vieles stolz seinmermshaus kann auf vieles stolz seinmermshaus kann auf vieles stolz seinmermshaus kann auf vieles stolz sein
Standard
Danke, das war genau die Antwort, auf die ich gehofft hatte.
mermshaus ist offline   Mit Zitat antworten
Antwort
Seite 2 von 2 < 1 2

« [Erledigt] Autoloader und einbinden von PEAR-Klasse | XML endtag finden »

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an
Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Variablen werden nicht übermittelt kietzmann PHP Tipps 2009 2 06.06.2009 00:34
Klasse statt globaler Variablen ecomeback PHP-Fortgeschrittene 6 15.07.2008 16:30
Templatesystem mit Funktionen und Variablen drin? BartTheDevil89 PHP Tipps 2008 6 01.07.2008 09:32
Übergeben von Variablen an in PHP eingebundenes Perl-Script shredder01 PHP Tipps 2008 3 04.04.2008 09:25
Datei mit Variablen so includen, dass Variablen nutzbar? BartTheDevil89 PHP Tipps 2008 6 22.01.2008 20:57
unerklärliches Leeren von Variablen KuShi PHP Tipps 2007 2 08.07.2007 15:19
Teil einer Variablen mit einer Variablen ersetzen ? simsalabim PHP Tipps 2007 11 20.03.2007 20:36
variablen aus textfile erzeugen (shellscript) noskule Server, Hosting und Workstations 2 19.07.2006 15:42
Variable aus Variablen zusammensetzen juhuwoorps PHP Tipps 2007 1 28.11.2005 21:50
$_GET Variablen weitergeben PHP Tipps 2005 3 01.03.2005 15:36
Variablen übergeben bzw. auslesen? PHP Tipps 2005 4 30.01.2005 03:56
[Erledigt] register globals off bei variablen Variablen... PHP Tipps 2005 4 25.01.2005 17:50
komplexe Variablen übergeben? PHP Tipps 2004-2 8 02.12.2004 08:29
Variablen aus den Formular sind nicht mehr verfügbar PHP Tipps 2004 6 30.10.2004 13:31
Variablen per adresse übergeben rocco PHP Tipps 2004 7 24.07.2004 12:03

Besucher kamen über folgende Suchanfragen bei Google auf diese Seite
http://www.php.de/php-fortgeschrittene/58497-variablen-filterung-ausreichend-2.html

Alle Zeitangaben in WEZ +2. Es ist jetzt 00:48 Uhr.

php.de - Das deutsche PHP-Forum - Kontakt - Impressum - Forenregeln - Archiv - Nach oben



Powered by vBulletin® Version 3.7.2 (Deutsch)
Copyright ©2000 - 2012, Jelsoft Enterprises Ltd.
Search Engine Optimization by vBSEO 3.2.0
Aprilia-Forum, Aquaristik-Forum, Liebeskummer-Forum, Zierfisch-Forum, Geizkragen-Forum