Bezpečnost předávání parametrů v URL
Upozornění: Tohle vlákno je hodně staré a informace nemusí být platné pro současné Nette.
- saimons
- Člen | 293
Chtel bych se zeptat zda v tomto reseni neni naka bezpecnostni dira, kdyz predavam parametr primo z url do DB napr. SQL Injection? Popripade jak bz se to dalo vylepsit? Zda se mi ze je to osetrene defaultnim nastavenim routy i pri SQL dotazu, ale nejsem si uplne jist.
Template:
<?php
<a n:href=":Front:Stranka:, $links[2]->url">{$links[2]->nazevStranka}</a>
?>Presenter:
<?php
public function renderDefault($url) {
$OStr = new Front_StrankaModel();
$this->template->stranka = $OStr->nactiStranku($url)->fetch();
}
?>Model:
<?php
public function nactiStranku($url) {
return $this->connection->query('
SELECT s.nadpisStranka, bt.text
FROM stranka s, bloktext bt
WHERE s.url = %s',$url,'
AND s.strankaID = bt.strankaID
LIMIT 1
');
?>Routa:
<?php
$router[] = new NRoute('<url>.html', array(
'module' => 'Front',
'presenter' => 'Stranka',
'action' => 'default',
'url' => 'uvod',
));
?>