Názor k článku Zranitelnosti typu injekce: SQL injekce od Pavel Stěhule - Můžete SQL lepit úplně stejně jak jste zvyklý...

  • Článek je starý, nové názory již nelze přidávat.
  • 12. 10. 2018 13:16

    Pavel Stěhule

    Můžete SQL lepit úplně stejně jak jste zvyklý - jen jakýkoliv dynamický obsah, musíte správně oeskejpovat (pokud se jedná o SQL identifikátory) nebo nahradit tzv placeholdry - a někde bokem si urdžovat vazbu placeholder,<->parametr. Pak při volání SQL dotazu musíte použít API, které umožňuje zadat reálné parametry bokem. libpq např. má funkci PQexecParams.

    Můžete si to představit tak, že napíšete:

    pqexecparam("select * from polozky where cena >= $1", $cenaOd);
    pqexecparam("select * from polozky where cena >= $1 and cena <= $2", $cenaOd, $cenaDo);