Δημοσιεύτηκε: 21 Μαρ 2011, 11:22
Ερωτήσεις/Εισηγήσεις!!
1. Νόμιζω ότι η γραμμή
..είναι λίγο επικίνδυνη (sql injection)
Eναλλακτική λύση (με έλεγχο του question variable):
2. Μήπως η βάση δεδομένων είναι περιττή;
3. Κι αν πιστεύετε ότι χρειάζετε, μήπως είναι καλύτερο να χρησιμοποιήσουμε sqlite;
π.χ. http://www.scriptol.com/sql/sqlite-tutorial.php
1. Νόμιζω ότι η γραμμή
- Κώδικας: Επιλογή όλων
$result = mysql_query("SELECT * FROM data where data.id LIKE '".$_GET['question']."_'");
..είναι λίγο επικίνδυνη (sql injection)
Eναλλακτική λύση (με έλεγχο του question variable):
- Κώδικας: Επιλογή όλων
$question = "$_GET['question']";
if (!preg_match('/^[\d\.]+$/', $question)) {
exit("Bad question id!");
}
$query = sprintf("SELECT * FROM data where data.id LIKE '%s_'", $question);
$result = mysql_query($query);
2. Μήπως η βάση δεδομένων είναι περιττή;
3. Κι αν πιστεύετε ότι χρειάζετε, μήπως είναι καλύτερο να χρησιμοποιήσουμε sqlite;
π.χ. http://www.scriptol.com/sql/sqlite-tutorial.php