@hooligan377

SQL инъекция или можно?

В общем мне известно, что лучше работать с подготовленными запросами при записи чего либо в бд.

Вопрос в том, могу ли я при выводе использовать обычные запросы, типы mysqli_query() - ведь по сути никакой инъекции не может быть, или может?
  • Вопрос задан
  • 385 просмотров
Решения вопроса 1
sim3x
@sim3x
Если перед вставкой код не прошел санитайзер, то получите xss
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
php666
@php666
PHP-макака
Ты запутался в sql-инъекциях и выводе данных.
При записи надо всегда применять подг. запросы или иные обертки, препятствующие sql-инъекциям и порчи синтаксиса SQL.

При выводе данных из БД всегда надо применять htmlspecialchars, т.к. это предотвратит и XSS и "порчу" верстки, если попадется в тексте символ <, > или кавычки.

Перед записью в базу текст НЕ ДОЛЖЕН подвергаться никакой санитарной обработки.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
28 мар. 2024, в 18:16
1000 руб./за проект
28 мар. 2024, в 18:15
90000 руб./за проект
28 мар. 2024, в 18:05
5000 руб./за проект