VPF::функционал LIKE при сохранении безопасности

bars80080

Дата 27.11.2009, 20:49 (ссылка)

(голосов:1)

Загрузка ...

прапор творюет

Награды: 1

Профиль
Группа: Завсегдатай
Сообщений: 12022
Регистрация: 5.12.2007
Где: Königsberg

Репутация: 9
Всего: 315

Цитата(Pitlord @ 27.11.2009, 19:41

)

короче, с безопасностью это никак не связано. Применил mysql_real_escape_string() — будет синтаксически корректная строка, ошибок не будет. "Вылезти" куда-то там нельзя.

мля. тогда вопрос в первую очередь к nerezus, зачем было вводить в заблуждение?
второй вопрос к Ипатьев, почему было не ответить на вполне простой вопрос, а специально запутывать?
третий вопрос к Pitlord тот же что и к Ипатьеву

Ипатьев

Дата 27.11.2009, 20:50 (ссылка)

(нет голосов)

Загрузка ...

Эксперт

Профиль
Группа: Завсегдатай
Сообщений: 2232
Регистрация: 5.7.2009

Репутация: 3
Всего: 37

Цитата(Pitlord @ 27.11.2009, 20:47

)

Я что, говорю что-то противоположное?

Ну, да.
фразу

Цитата(Pitlord @ 27.11.2009, 18:54

)

Если кратко, то если бекслеш не экранировать, то это позволит пользователю искать символы "%" и "_". Если экранировать — они будут фигурировать только в качестве спец. символов LIKE и не более.

лично я понимаю так, что слеш надо экранировать для того, чтобы позволить пользователю искать символы "%" и "_"
а на самом деле двойное экранирование слеша и поиск символов "%" и "_" никак между собой не связаны

Это сообщение отредактировал(а) Ипатьев - 27.11.2009, 20:51

Pitlord

Дата 27.11.2009, 20:53 (ссылка)

(нет голосов)

Загрузка ...

Бывалый

Профиль
Группа: Участник
Сообщений: 246
Регистрация: 31.10.2009

Репутация: нет
Всего: 7

Цитата(bars80080 @ 27.11.2009, 20:49

)

почему было не ответить на вполне простой вопрос, а специально запутывать?

Ты сам себя запутал. Нас запутал. А мы виноваты.

bars80080

Дата 27.11.2009, 20:59 (ссылка)

(нет голосов)

Загрузка ...

прапор творюет

Награды: 1

Профиль
Группа: Завсегдатай
Сообщений: 12022
Регистрация: 5.12.2007
Где: Königsberg

Репутация: 9
Всего: 315

Цитата(Pitlord @ 27.11.2009, 19:53

)

Ты сам себя запутал. Нас запутал. А мы виноваты.

я задал вопрос, а затем его уточнил по просьбе Молекса. он и Скайбой меня поняли. ответили. всё ОК.

что началось потом?

Pitlord

Дата 27.11.2009, 21:10 (ссылка)

(нет голосов)

Загрузка ...

Бывалый

Профиль
Группа: Участник
Сообщений: 246
Регистрация: 31.10.2009

Репутация: нет
Всего: 7

Цитата(bars80080 @ 24.11.2009, 12:44

)

но ведь в строке могут быть служебные символы, типа \t

Тебя поправили, сказав, что табуляция не превращается в "\" и "t" после mysql_real_escape_string().

Ипатьев, конечно, пусть сам объясняет свою фразу о двойном экранировании.

Ипатьев

Дата 27.11.2009, 21:53 (ссылка)

(нет голосов)

Загрузка ...

Эксперт

Профиль
Группа: Завсегдатай
Сообщений: 2232
Регистрация: 5.7.2009

Репутация: 3
Всего: 37

Она не моя. Она из документации smile

Pitlord

Дата 27.11.2009, 22:16 (ссылка)

(нет голосов)

Загрузка ...

Бывалый

Профиль
Группа: Участник
Сообщений: 246
Регистрация: 31.10.2009

Репутация: нет
Всего: 7

Цитата(Ипатьев @ 27.11.2009, 21:53

)

Она не моя. Она из документации

А к чему эта фраза-то? Заставить пользователя почитать мануал перед поиском?

1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
« Предыдущая тема \| PHP: Базы Данных \| Следующая тема »