Skadelig Data

Perl DBI understøtter prepared statement - brug det i stedet for !

arne_v <- Kan du komme med et eksempel ? :)

Prepared statements er absolut at foretrække, men der findes da for pokker mysql_escape_string...

mysql_real_escape_string er nu klart at foretrække fremfor mysql_escape_string, af hensyn til multibyte-tegnsæt - men eneste grund til man bør bruge escaping i det hele taget, er hvis man ikke har adgang til parameters. Det er før set at databasernes escaping-funktioner indeholder fejl (både MySQL og PostgreSQL har haft dette).

I øvrigt bruger spørger Perl, ikke PHP - han vil bare gerne have nogle alternativer til det han kender ;)

http://www252.pair.com/comdog/mastering_perl/Chapters/03.taint-checking.html
http://www.go4expert.com/forums/showthread.php?t=8074

har lidt eksempel, men jeg kan godt konstruere et super simpelt eksempel. Senere.

rosvall & pidgeot <- Vil ikk bruge MySQL til at håndtere det, men derimod Perl :)

arne_v <- Ville være sweet hvis du kunne komme med et par simple eksempler. På forhånd tak :)


// Street^

Min kommentar var udelukkende for at gøre rosvall opmærksom på at han var gal på den. :)

Eksempel:

use DBI;
# connect
my $con = DBI->connect('DBI:mysql:host=localhost:database=Test','','') or die DBI->errstr;
# display all rows
my $stmt = $con->prepare('SELECT * FROM t1') or die $con->errstr;
$stmt->execute;
while(@row = $stmt->fetchrow_array()) {
    my $f1 = $row[0];
    my $f2 = $row[1];
    print "$f1 $f2\n";
}
# insert new row
my $stmt = $con->prepare('INSERT INTO t1 VALUES(?,?)') or die $con->errstr;
$stmt->execute(6,'FFFFFF');
# display all rows again
my $stmt = $con->prepare('SELECT * FROM t1') or die $con->errstr;
$stmt->execute;
while(@row = $stmt->fetchrow_array()) {
    my $f1 = $row[0];
    my $f2 = $row[1];
    print "$f1 $f2\n";
}
# disconnect
$con->disconnect;

De relevante linier er:

my $stmt = $con->prepare('INSERT INTO t1 VALUES(?,?)') or die $con->errstr;
$stmt->execute(6,'FFFFFF');

? i SQL sætningen

og så kalder man execute med parametrene

(og naturligvis vil de parametre som oftest være variable og ikke konstanter som her)

arne_v <- Helt sikkert...anede ikk at Perl DBI understøttede parametre som f.eks. C# .NET. Mange tak for hjælpen ! Kom med et svar, så du kan få din points :)


// Street^

Svar.

De fleste sprog understoetter prepared statements / parameters.