Új hozzászólás Aktív témák
-
#15935
Sk8erPeter
nagyúr
sztanozs
#15930
Sk8erPeter
nagyúr
válasz
sztanozs
#15930
üzenetére
"Igen viszont a mysqli_stmt_fetch nem array-be pakol, hanem a táblamezőneveknek megfelelő változókba (ami szerintem legalább akkora probléma, mint az összefűzött sql string)."
A kettő még csak össze sem hasonlítható. Hogy lenne ugyanakkora probléma? Az összefűzött query konkrétan komoly biztonsági kockázatot jelenthet bármilyen escape-elés nélkül (ahogy te mutattad), míg az, hogy a mező nevét "bedrótozod" az alkalmazásod kódjába, az csak egy igazodás egy kialakult struktúrához, de biztonsági kockázatot nem jelent.A másik felére: MySQLi helyett PDO-t használ az embör (fetch), és meg van oldva.
Én legalábbis sokkal értelmesebbnek találom (amennyiben ORM és hasonlók még szóba se kerülnek). Persze ez az eredeti problémát nem oldja meg, tudtommal ilyen esetben a mysqli_stmt_bind_result nem elkerülhető.
Én legalábbis sokkal értelmesebbnek találom (amennyiben ORM és hasonlók még szóba se kerülnek). Persze ez az eredeti problémát nem oldja meg, tudtommal ilyen esetben a mysqli_stmt_bind_result nem elkerülhető.Új hozzászólás Aktív témák
- Anglia - élmények, tapasztalatok
- Diablo IV
- Fejhallgató erősítő és DAC topik
- Androidos tablet topic
- Fogyjunk le!
- exHWSW - Értünk mindenhez IS
- AMD K6-III, és minden ami RETRO - Oldschool tuning
- Xiaomi 14 - párátlanul jó lehetne
- Fujifilm X
- AMD Ryzen 9 / 7 / 5 9***(X) "Zen 5" (AM5)
- További aktív témák...
Állásajánlatok
Cég: Laptopműhely Bt.
Város: Budapest