dibi fórum

dibi prepared statements nepoužívá

proti SQLi je zabezpečena jinak – proměnné vkládané správným způsobem se automaticky escapují. tvůj příklad je proti SQLi zabezpečen

ošetřený hexakód v uvozovkách je pořád jenom obyčejný text

pošli prosím odkaz na zdroj, kde tohle tvrdí. rád se poučím

prepared statements nejsou žádný bezpečnostní zázrak. vstupy ošetřují naprosto stejně jako třeba dibi nebo jiný db layer. jejich výhoda je jinde – v opakovaném spouštění stejného dotazu s jinými daty

Dobry den,
jeste se na tema SQL injection zeptam. Pouzivam dibi, postgres. Pres promenne v url si vracim urcite hodnoty $_GET[''] , ktere pak osetruji pomoci funkce stripslashes. Nebude se toto s vnitrni ochranou dibi proti SQL injection tlouct?

Dalsi dotaz je , kdyz mam funkci:

<?php
$query = "SELECT * from $table WHERE ($parameter = $type)"
$result = dibi::query($query, $value);
?>

takze to znamena, kdyz je parametr nazev sloupce a typ treba string, takze pokud se nekdo pokusi zadat backslash s necim nebo nejaky naznak o SQL injection, tak je aplikace automaticky chranena?

Predem dekuji za odpoved.