Shuningdek, O’zbekiston Prezidenti 7-fevral kungi farmoni bilan 2017

Download 306,49 Kb.

bet	7/24
Sana	21.06.2022
Hajmi	306,49 Kb.
	#689874

1 2 3 4 5 6 7 8 9 10 ... 24

Bog'liq
Защита от SQL

Muhim eslatma

Misollar foydalanish :
Qo'llanmadan :
$stmt = $dbh->prepare("SELECT * FROM REGISTRY where name LIKE ?");
$stmt->execute(array("%$_GET[name]%"));
$data = $stmt->fetchAll();

Nimaga intilish kerakligiga misol:

$ban = $db->getRow("SELECT 1 FROM ban WHERE ip = inet_aton(s:)", $ip);
Ko'rib turganingizdek, bu unchalik qiyin emas, shuningdek - mohirona foydalanish bilan - bu sizning qo'llaringiz bilan so'rov qilishdan ko'ra ancha qisqaroq chiqadi . Hali ham eski uslubda yozishni xohlaysizmi?
Muhim eslatma: Albatta, ma'lumotlar manbasi yoki boshqa shartlardan qat'i nazar, to'ldiruvchilar orqali ma'lumotlarni almashtirish har doim amalga oshirilishi kerak .

Identifikatorlar va kalit so'zlar - oq ro'yxatga olish
In'ektsiya haqidagi maqolalarning aksariyati bu nuqtani butunlay o'tkazib yuboradi. Ammo haqiqat shundaki, unda biz so'rovda nafaqat ma'lumotlarni, balki boshqa elementlarni - identifikatorlarni (maydon va jadval nomlari) va hatto sintaksis elementlarini, kalit so'zlarni almashtirish zarurati bilan duch kelamiz. Agar ular DESC yoki AND kabi kichik bo'lsa ham, bunday almashtirishlar uchun xavfsizlik talablari hali ham qat'iy bo'lishi kerak!
Keling, juda oddiy holatni tahlil qilaylik.
Bizda foydalanuvchiga HTML jadvali ko'rinishida ko'rsatiladigan mahsulot ma'lumotlar bazasi mavjud. Foydalanuvchi ushbu jadvalni maydonlardan biri bo'yicha, istalgan yo'nalishda saralashi mumkin.
Ya'ni hech bo'lmaganda foydalanuvchi tomonidan ustun nomi va saralash yo'nalishi bizga keladi.
Ularni to'g'ridan-to'g'ri so'rovga almashtirish kafolatlangan in'ektsiya hisoblanadi. Bu erda odatiy formatlash usullari yordam bermaydi. Na identifikatorlar, na kalit so'zlar bilan tayyorlangan iboralar xato xabaridan boshqa hech narsaga olib kelmaydi.
Oq ro'yxatga olish yagona yechimdir .
Bu, albatta, Nyuton binomi emas va ko'plab ishlab chiquvchilar so'rovda maydon nomini almashtirish zaruriyatiga birinchi marta duch kelganlarida, bu paradigmani osongina amalga oshiradilar. Biroq, bu qoidasiz in'ektsiyadan himoya qilish bo'yicha maqola to'liq bo'lmaydi va himoyaning o'zi teshiklarga to'la bo'ladi.
Usulning mohiyati shundaki, barcha mumkin bo'lgan tanlovlar bizning kodimizda qattiq kodlangan bo'lishi kerak va faqat ular so'rovga kirishlari kerak , foydalanuvchi kiritishi asosida.

Download 306,49 Kb.

Do'stlaringiz bilan baham:

1 2 3 4 5 6 7 8 9 10 ... 24