|
ru.perl
- RU.PERL ----------------------------------------------------------------------
From : Sergey Gernichenko 2:5079/46.90 20 Jan 2007 02:07:56
To : All
Subject : DBI || DBD::MySQL
--------------------------------------------------------------------------------
От пользователя принимаются непроверенные данные. Далее выполняется запрос к
базе MySQL:
$sth= $dbh->prepare ("update basket set count=count+?,date=now() where sid=? and
code=?");
затем $sth->execute(@userdata); #@userdata - количество параметров естественно
#совпадает с количеством bind-параметров.
Я всегда считал, что в этом случае SQL-Injection не случается... Я ошибаюсь? и
надо проверять юзерский ввод на наличие всяких там апострофов и кавычек?
PS: ошибка при выполнении такая:
Can't execute 'update basket set count=count+?,date=now() where sid=? and
code=?': You have an error in your SQL syntax. Check the manual that
corresponds to your MySQL server version for the right syntax to use near
'",date=now() where sid='f28ae15d94aa56d35bd108b02280c024' and c at
dviglo.inc.pl line 66
это вместо первого числового параметра было передано число и двойная кавычка...
Или эта ошибка возникает только в случае, когда параметр числовой ожидается?
До скорых встреч, *All* С уважением, *Sergey*.
--- Hа этом поставим точку.
* Origin: Работать надо, пока ещё не лень (2:5079/46.90)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
