PDO и sql инъекции

@olejan1991 · Регистрация: 05.06.2013

Студворк — интернет-сервис помощи студентам

Изучаю PDO и защиту от инъекций. Как понял если использовать для вставки в БД данных prepare, то инъекции будут исключены. я правильно это понял?

Накидал вот такой метод, но не уверен защищена ли эта вставка от sql инъекций

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
public function create($name, $tablename) {
 
        $tablename = DB_PREFIX . $tablename;
        $fields = $_POST[$name];
 
        foreach ($fields as $key => $value) {
 
            if ($key != 'load') {
                $rows[] = "`" . $key . "`";
                $values[] = "'" . $value . "'";
            }
        }
 
        $rows = implode(',', $rows);
        $values = implode(',', $values);
        $db = db::getDB();
        $sql = "INSERT INTO `$tablename` ($rows) VALUES ($values)";
 
        $st = $db->prepare($sql);        
        return $st->execute();
    }

@wq · 26.04.2016, 19:01

Сообщение от olejan1991

не уверен защищена ли эта вставка от sql инъекций

конечно нет. Есть подготовленные(параметризированные) запросы.элементарно, достаточно заглянуть на сайт php

@olejan1991 · 26.04.2016, 19:03 **[ТС]**

Заглядывал, но в инфе о PDO для себя ответа не нашел.

@wq · 26.04.2016, 19:05

Сообщение от olejan1991

но в инфе о PDO для себя ответа не нашел

ну вам тяжело придется. Что тут сделать. Тыкать носом? смысл? не поможет, не хотите не надо

@olejan1991 · 26.04.2016, 19:06 **[ТС]**

От Вас, например, самой лучшей помощью будет - это пройти мимо.

@wq · 26.04.2016, 19:09

Не по теме:

Сообщение от olejan1991

самой лучшей помощью будет - это пройти мимо

и сделать замечание что ленивый мозг ничего не спасет. привет

@olejan1991 · 26.04.2016, 19:36 **[ТС]**

читая эту статью http://ruseller.com/lessons.php?id=610&rub=28 переделал метод, и теперь по идее эта вставка защищена от инъекций, так?

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
  public function create($name, $tablename) {
 
        $tablename = DB_PREFIX . $tablename;
        $fields = $_POST[$name];
 
        foreach ($fields as $key => $value) {
 
            if ($key != 'load') {
                $rows[] = "`" . $key . "`";
                $values[] = "?";
                $data[] = $value;
            }
        }
 
        $rows = implode(',', $rows);
        $values = implode(',', $values);
        $db = db::getDB();
        $sql = "INSERT INTO `$tablename` ($rows) VALUES ($values)";
 
        $st = $db->prepare($sql);        
        return $st->execute($data);
    }

Добавлено через 11 минут
использую в этом методе из той статьи

# неименованые шаблоны
$STH = $DBH->("INSERT INTO folks (name, addr, city) values (?, ?, ?);

Добавлено через 6 минут
Или лучше использовать именованный шаблон?

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
public function create($name, $tablename) {
 
        $tablename = DB_PREFIX . $tablename;
        $fields = $_POST[$name];
 
        foreach ($fields as $key => $value) {
 
            if ($key != 'load') {
                $rows[] = "`" . $key . "`";
                $values[] = ":" . $key;
                $data[$key] = $value;
            }
        }
 
        $rows = implode(',', $rows);
        $values = implode(',', $values);
        $db = db::getDB();
        $sql = "INSERT INTO `$tablename` ($rows) VALUES ($values)";
 
        $st = $db->prepare($sql);
        return $st->execute($data);
    }

Новые блоги и статьи Все статьи Все блоги /
Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .	И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .
SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .	SDL3 для Web (WebAssembly): Работа со звуком через SDL3_mixer 8Observer8 08.02.2026 Содержание блога Пошагово создадим проект для загрузки звукового файла и воспроизведения звука с помощью библиотеки SDL3_mixer. Звук будет воспроизводиться по клику мышки по холсту на Desktop и по. . .

@olejan1991 3 / 3 / 2 Регистрация: 05.06.2013 Сообщений: 79
	26.04.2016, 19:03 [ТС]
	Заглядывал, но в инфе о PDO для себя ответа не нашел. 0

@olejan1991 3 / 3 / 2 Регистрация: 05.06.2013 Сообщений: 79
	26.04.2016, 19:06 [ТС]
	От Вас, например, самой лучшей помощью будет - это пройти мимо. 0