Yii Framework Forum: Защита Кода - Yii Framework Forum

Jump to content

Page 1 of 1
  • You cannot start a new topic
  • You cannot reply to this topic

Защита Кода Rate Topic: -----

#1 User is offline   melomaniac 

  • Standard Member
  • PipPip
  • Yii
  • Group: Members
  • Posts: 182
  • Joined: 14-January 13

Posted 13 March 2013 - 09:45 PM

Всем доброе утро, подскажите пожалуйста как защитить подобный код от sql injection ? ::)
static public function getTopMovies($count=20){
        $sql="SELECT * FROM `table` ORDER BY `id` DESC limit ".intval($count);
        $t=Yii::app()->db->createCommand($sql)->queryAll();
        return $t;
    }

0

#2 User is offline   Charger 

  • Advanced Member
  • PipPipPip
  • Yii
  • Group: Members
  • Posts: 317
  • Joined: 03-September 11

Posted 14 March 2013 - 03:15 AM

Насколько я знаю intval преобразует не числовые значения в 0, так что если юзер в #count попробует передать ; delete from ...
то получится LIMIT 0
Так что код защищен, вроде бы, поправьте, если я не прав.
1

#3 User is offline   samdark 

  • Having fun
  • Yii
  • Group: Yii Dev Team
  • Posts: 3,738
  • Joined: 17-January 09
  • Location:Russia

Posted 14 March 2013 - 04:57 AM

С этим кодом нельзя сделать injection, но я бы всё-таки использовал тут параметры...
Yii 1.1 Application Development Cookbook

Enjoying Yii? Star us at github: 1.1 and 2.0.
1

#4 User is offline   melomaniac 

  • Standard Member
  • PipPip
  • Yii
  • Group: Members
  • Posts: 182
  • Joined: 14-January 13

Posted 15 March 2013 - 07:06 AM

Ок, спасибо, понял :)
0

Share this topic:


Page 1 of 1
  • You cannot start a new topic
  • You cannot reply to this topic

1 User(s) are reading this topic
0 members, 1 guests, 0 anonymous users