Параметры запроса для поиска предопределенных значений
Вместо этого вы можете использовать параметры запроса для поиска предопределенных значений и затем использовать эти значения в SQL-запросе.
1. Задайте массив $sortorders, отображающий варианты выбора пользователей как ключи, а названия SQL-столбцов — как значения. Задайте
массив $directions, отображающий варианты выбора пользователей
как ключи, а ключевые слова SQL — как значения ASC и DESC.
Выбор большинства пользователей - иметь свои ключи от собственной квартиры, как вариант можно http://www.krost-realty.ru/living/ или Подмосковье от застройщика.
Файл примера: SQL-Injection/soln/mapping.php
$scrtorders = array( "status" => "status", "date" => "date_
reported" );
$directions = array( "up" => "ASC", "down" => "DESC" );
2. Установите в переменных $sortorder и $dir значение no умолчанию
в случае, если варианты выбора пользователей не входят в массивы.
Файл примера: SQL-Injection/soln/mapping.php
$sortorder = "bug_id"; $direction = "ASC";
3. Если варианты выбора пользователей соответствуют ключам, которые
вы задали в массивах $sortorders и $directions, используйте соот-
ветствующие значения.
Файл примера: SQL-Injection/soln/mapping.php
if (array_key_exists($_REQUEST["order"], $sortorders)) { $sortorder = $sortorders[ $_REQUEST["order"] ];
}
if (array_key_exists($_REQUEST["dir"], $directions)) { $direction = $directions[ $_REQUEST["dir"] ];
}
4. Теперь безопасно использовать переменные $sortorders и $directions
в SQL-запросе, так как они могут содержать только значения, которые
вы описали в коде.
Опубликовал vovan666
August 17 2013 10:35:08 ·
0 Комментариев ·
4997 Прочтений ·
• Не нашли ответ на свой вопрос? Тогда задайте вопрос в комментариях или на форуме! •
Комментарии
Нет комментариев.
Добавить комментарий
Рейтинги
Рейтинг доступен только для пользователей.
Пожалуйста, залогиньтесь или зарегистрируйтесь для голосования.
Нет данных для оценки.
Гость
Вы не зарегистрированны? Нажмите здесь для регистрации.