|
ru.perl
- RU.PERL ----------------------------------------------------------------------
From : Jahor Miadzviedziew 2:450/217 25 Nov 2003 19:36:57
To : Abrasha shapirus
Subject : Re: DBI и метод quote
--------------------------------------------------------------------------------
abrasha shapirus <abrasha_shapirus@p940.f4077.n550.z2.fidonet.org> wrote:
JM>> есть, скажем
JM>> ...
JM>> my $sth = $dbh->prepare_cached("SELECT var FROM table WHERE
JM>> another_var=?");
JM>> ...
JM>> $sth->execute($another_var);
JM>> ...
JM>> при вызове $sth->execute($another_var); для $another_var будет
JM>> вызываться quote() для $another_var или это я должен сам делать?
as> по-моему, это зависит от используемого драйвера.
as> я как-то наткнулся на проблему при использовании DBD::mysql. дело в
as> том, что mysql не желает принимать значения в кавычках в качестве
as> параметров модификатора
as> LIMIT. то есть, LIMIT 0,5 -- это нормально, а LIMIT '0','5' не схавает.
as> у меня были вызовы типа:
as> $dbh->prepare('SELECT foo FROM bar ORDER by zzz LIMIT ?,?');
as> $sth->execute($qty * $pos, $qty);
as> как-то само собой получалось, что параметры не квотились. а потом
as> поставил более свежую версию DBD::mysql, и все всегда начало
as> квотиться, что вызвало проблемы.
as> чтение чейнджлога показало, что:
as> 2003-06-22 Rudy Lippan <rlippan@remotelinux.com> (2.9002)
[skip]
оп-па. это мне кажется, или на самом деле бредово получается?
собственно, меня большей частью волнует возможен ли при таком вызове sql
injection или нет. я так понял, что невозможен. это хорошо. но с другой
стороны, не все ж данные имеет смысл квотить. скажем, если я что-нибудь
целочисленное пытаюсь прибиндить -- на кой пытаться квотить это дело?
--
corvus corax @home || pain bramaged derson
GPG Fingerprint = 7954 5713 19D0 2713 A3B0 9B79 6F8E 4C25 E279 A165
--- tin/1.6.0-20030714 ("Vatersay") (UNIX) (Linux/2.4.20-xer2-up (i686))
* Origin: corvus corax' nest (2:450/217)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
