Shuningdek, O’zbekiston Prezidenti 7-fevral kungi farmoni bilan 2017



Download 306,49 Kb.
bet7/24
Sana21.06.2022
Hajmi306,49 Kb.
#689874
1   2   3   4   5   6   7   8   9   10   ...   24
Bog'liq
Защита от SQL

Misollar foydalanish :
Qo'llanmadan :
$stmt = $dbh->prepare("SELECT * FROM REGISTRY where name LIKE ?");
$stmt->execute(array("%$_GET[name]%"));
$data = $stmt->fetchAll();

Nimaga intilish kerakligiga misol:


$ban = $db->getRow("SELECT 1 FROM ban WHERE ip = inet_aton(s:)", $ip);
Ko'rib turganingizdek, bu unchalik qiyin emas, shuningdek - mohirona foydalanish bilan - bu sizning qo'llaringiz bilan so'rov qilishdan ko'ra ancha qisqaroq chiqadi . Hali ham eski uslubda yozishni xohlaysizmi?
Muhim eslatma: Albatta, ma'lumotlar manbasi yoki boshqa shartlardan qat'i nazar, to'ldiruvchilar orqali ma'lumotlarni almashtirish har doim amalga oshirilishi kerak .


Identifikatorlar va kalit so'zlar - oq ro'yxatga olish
In'ektsiya haqidagi maqolalarning aksariyati bu nuqtani butunlay o'tkazib yuboradi. Ammo haqiqat shundaki, unda biz so'rovda nafaqat ma'lumotlarni, balki boshqa elementlarni - identifikatorlarni (maydon va jadval nomlari) va hatto sintaksis elementlarini, kalit so'zlarni almashtirish zarurati bilan duch kelamiz. Agar ular DESC yoki AND kabi kichik bo'lsa ham, bunday almashtirishlar uchun xavfsizlik talablari hali ham qat'iy bo'lishi kerak!
Keling, juda oddiy holatni tahlil qilaylik.
Bizda foydalanuvchiga HTML jadvali ko'rinishida ko'rsatiladigan mahsulot ma'lumotlar bazasi mavjud. Foydalanuvchi ushbu jadvalni maydonlardan biri bo'yicha, istalgan yo'nalishda saralashi mumkin.
Ya'ni hech bo'lmaganda foydalanuvchi tomonidan ustun nomi va saralash yo'nalishi bizga keladi.
Ularni to'g'ridan-to'g'ri so'rovga almashtirish kafolatlangan in'ektsiya hisoblanadi. Bu erda odatiy formatlash usullari yordam bermaydi. Na identifikatorlar, na kalit so'zlar bilan tayyorlangan iboralar xato xabaridan boshqa hech narsaga olib kelmaydi.
Oq ro'yxatga olish yagona yechimdir .
Bu, albatta, Nyuton binomi emas va ko'plab ishlab chiquvchilar so'rovda maydon nomini almashtirish zaruriyatiga birinchi marta duch kelganlarida, bu paradigmani osongina amalga oshiradilar. Biroq, bu qoidasiz in'ektsiyadan himoya qilish bo'yicha maqola to'liq bo'lmaydi va himoyaning o'zi teshiklarga to'la bo'ladi.
Usulning mohiyati shundaki, barcha mumkin bo'lgan tanlovlar bizning kodimizda qattiq kodlangan bo'lishi kerak va faqat ular so'rovga kirishlari kerak , foydalanuvchi kiritishi asosida.



Download 306,49 Kb.

Do'stlaringiz bilan baham:
1   2   3   4   5   6   7   8   9   10   ...   24




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish