| От | Pierre-Frédéric Caillaud |
|---|---|
| Тема | Re: Sql injection attacks |
| Дата | |
| Msg-id | opsbuhp4gscq72hf@musicbox обсуждение исходный текст |
| Ответ на | Re: Sql injection attacks (Lincoln Yeoh <lyeoh@pop.jaring.my>) |
| Список | pgsql-general |
> update tablea set a=10-$inputstring where key=1;
Add parenthesis:
update tablea set a=10-($inputstring) where key=1;
Thus you get :
update tablea set a=10-(-1) where key=1;
instead of :
update tablea set a=10--1 where key=1;
You'd have a problem because -- is the Comment Delimiter thus
update tablea set a=10--1 where key=1;
means :
update tablea set a=10;
which does update all rows.
I still think inputstring should be cast to int in YOUR code prior to be
sent to SQL, because then you can give a good error message to the user
instead of "SQL request failed".
В списке pgsql-general по дате отправления:
Сайт использует файлы cookie для корректной работы и повышения удобства. Нажимая кнопку «Принять» или продолжая пользоваться сайтом, вы соглашаетесь на их использование в соответствии с Политикой в отношении обработки cookie ООО «ППГ», в том числе на передачу данных из файлов cookie сторонним статистическим и рекламным службам. Вы можете управлять настройками cookie через параметры вашего браузера