real_escape_string

Sveiki,

 

Ar gerai escapinu?

 

$conn = mysqli_connect( .... );

if (!$conn->set_charset("utf8")) {

} else {

}

$escapedtext = $conn->real_escape_string($_POST[text]);

PDO naudotum ir galėtum užmiršti šią funkciją.

Kodėl nesinaudoji biblioteką kurią tau parašiai anam poste, nereikės galvoti apie tokius dalykus, čia sintaksės klaida bus nes nėra kabučių $_POST['text']. Escapinti taip kaip tu čia darai nerekomenduojama.

Redagavo Rugpjūčio 1, 2016 Prodev

Del tu kabuciu irgi norejau klausti, keista nenaudoju, bet nemeta sintakses klaidu. Del tos bibliotekos tai ten tik del patogumo? Bet ar sitas pavizdys escapins, nes

 

http://php.net/manual/en/mysqli.real-escape-string.php

 

Rašo, kad koduotę reikia pakeist kitaip ten neescapins

Jei įjungtum warrnings gautum įspėjimus, tas tavo text dabar traktuojamas kaip konstanta, nežinau kokie php ini nustatymai ir kokioj aplinkoj dirbi, bet neesmė čia, ta biblioteka ne tik patogumui skirta, ji už tave padaro daug dalykų, plius praplečia funkcionalumą, gauni papildomų funkcijų kurių dažniausiai reikia. Tu irmaliai taip nepaescapinsi čia reikia daryti mysqli_prepare, žodžiu patarimas naudoti jau paruoštą biblioteką.

O tiksliau kokia cia biblioteka

MeekroDB tikksliau pavadinti reiktu klasė.

Tai ten nesupratau, raso paprastam naudojimui nemokamas, o komerciniam 50 dolcų, o tai koks skirtumas jei nemokamą naudosi komerciniam?

Autorius paprašė jam sumokėti 50 jei tu su šia biblioteka uždirbinėsi pinigus, manau sažininga, nenori nemokėk. Ten skirtumo nėra ar mokama ar nemokama čia yra tik tai kaip tu naudosi ją.

Redagavo Rugpjūčio 1, 2016 Prodev

Bet rašo

 

but you must buy a license to use it in a commercial project.

 

Tai čia tas privalai nupirkti licenziją tai jeigu nepirksi kažkas blogai bus taip išeina ?:D

Redagavo Rugpjūčio 1, 2016 audriuslio

Bet rašo

 

but you must buy a license to use it in a commercial project.

 

Tai čia tas privalai nupirkti licenziją tai jeigu nepirksi kažkas blogai bus taip išeina ?:D

 

Patarimas: jeigu turi problemų su teksto suvokimu, programavimu neužsiimk.

Nu gerai ta biblioteką panaudot galėsim, bet paprastu variantu darant kaip pasidaryt, kad gerai escapintų gi ne visi tas bibliotekas naudoja + dėl vos kelių dalykų

Nu gerai ta biblioteką panaudot galėsim, bet paprastu variantu darant kaip pasidaryt, kad gerai escapintų gi ne visi tas bibliotekas naudoja + dėl vos kelių dalykų

 

Kas ne taip? Kintamąjį panaudoti su kabutėmis reikia ir tiek žinių.

Nu jo, bet jūs rašėt, kad dar čia ne pilnai escapina taip kaip aš parodžiau nu tos kabutės jas dadėsiu

Nu jo, bet jūs rašėt, kad dar čia ne pilnai escapina taip kaip aš parodžiau nu tos kabutės jas dadėsiu

 

Kaip tai ne visai... Jeigu kviečiama funkcija, vadinasi, jos funkcionalumas panaudojamas 100 procentų. Darbine prasme kodas – 200, tačiau tinkinimo prasme geriau jau būtų 404.

O tarkime reikia tokio dalyko kaip ilgio tikrinimo jeigu yra teksto ivedimas, o as ta teksta escapinu, jeigu jis bus koks ilgas labai kokiu blogu dalyku nutikt?

O tarkime reikia tokio dalyko kaip ilgio tikrinimo jeigu yra teksto ivedimas, o as ta teksta escapinu, jeigu jis bus koks ilgas labai kokiu blogu dalyku nutikt?

 

Kintamojo turinio dydį privalu kontroliuoti ne client-side (nebent sugebėtum tai padaryti genialiu būdu), kadangi HTML (ar kitoniškų ženklinimo terpių) apibrėžtis klientas gali nesunkiai pergudrauti.

Kopinu tekstą kaip iš tos pačio puslapio kaip galima daryti:

 

$mysqli->query("INSERT INTO mytable (`name`, `rank`, `location`, `age`, `intelligence`) 
 VALUES ('" . $mysqli->real_escape_string($name) . "','"
 . $mysqli->real_escape_string($rank) . "','"
 . $mysqli->real_escape_string($location) . "',"
 . intval($age) . ",'"
 . $mysqli->real_escape_string($intelligence) . "')");

 

Ir kaip tas pats dalykas atrodo su meekrodb:

DB::insert('mytable', array(
 'name' => $name,
 'rank' => $rank,
 'location' => $location,
 'age' => $age,
 'intelligence' => $intelligence
));

 

Gali escapint per mysqli real escape bet tau reikės visada visur nepamiršti to padaryti, viena iš priežasčių kodėl nerekomenduojama taip daryti, nes tiesiog praleisi kurią nors vietą.

Naudok PDO su prepared statements:

http://pastebin.com/bx9KTKB4