Bezpečnost Dibi
Upozornění: Tohle vlákno je hodně staré a informace nemusí být platné pro současné Nette.
- Prochy
- Člen | 91
Zdravim,
chtěl jsem se zeptat možná na takovou banálnost, ale stejně se raději
zeptám, když mám např. následující dotaz:
SELECT * FROM clients WHERE `id`=%i,$idTak by mě zajímalo, jestli to je automaticky ošetřený proti SQL
Injection nebo si to musím hlídat sám? Protože, když dám za id cokoliv
jiného než číslo, tak si to samo přetypuje na integer, takže text se tam
prostě nemůže dostat, takže by teoreticky neměl jít změnit tento dotaz a
tím docílit SQL Injection. Chápu to správně, nebo sem úplně vedle?
Děkuji za odpověď
- Jan Tvrdík
- Nette guru | 2595
Dibi má vlastní diskusní fórum. Chápeš to správně, ale pokud se tam dostane pole, tak to myslím spadne.