Писать на форуме DIAFAN.CMS могут только зарегистрированные пользователи. Войдите или зарегистрируйтесь.
Уязвим ли такой код для иньекций?
-
- Андрей (R4W)
- 140
-
25 октября 2018 г.
-
При сборке запроса не вижу возможности применить плейсхолдеры.
Как думаете такой код для mysql инъекций уязвим?Код
$query = "SELECT count(id) as count FROM {table} WHERE ";
if (!empty($_POST['geo_ids'])) $where[] = "base_index_geo_id IN($_POST[geo_ids])";
if (!empty($_POST['okved_leads'])) $where[] = "okved_leads IN($_POST[okved_leads])";
if (!empty($_POST['register_from'])) $where[] = "date_register > '$_POST[register_from]'";
if (!empty($_POST['register_to'])) $where[] = "date_register < '$_POST[register_to]'";
if (!empty($_POST['closed_from'])) $where[] = "date_close > '$_POST[register_from]'";
if (!empty($_POST['closed_to'])) $where[] = "date_close < '$_POST[register_to]'"; -
-
-
-
- Степан (idxdoc)
- 334
-
25 октября 2018 г.
-
что значит плейсхолдеры? Маски чтоле?
Конечно уязвим, ставьте в конце в функции DB::query.....($query.$where...., тут ваши $_POST..) -
-
-
-
- Андрей (R4W)
- 140
-
25 октября 2018 г.
-
Ну маски да, плейсхолдеры по-английски :)
Как их поставишь то если у меня кол-во аргументов не известно? -
-
-
-
- Андрей (R4W)
- 140
-
25 октября 2018 г.
-
Да и под массив int который в IN подается какой плейсхолдер может быть?
-
-
-
-
- Степан (idxdoc)
- 334
-
25 октября 2018 г.
-
"%s" подойдет вполне
-
-
-
-
-
- Степан (idxdoc)
- 334
-
25 октября 2018 г. , редакция: 25 октября 2018 г.
-
ну у тебя ведь по условиям все раскидано, собери в массив значения, потом примени implode().
Ерунду сморозил, это не подойдет, нужно чуть подольше подумать)
Применяй условия, если есть такая переменная то вставляй, нет - игнорь, типо того. короче пробовать надо.
Но маски обязательно используй -
-
-
-
-
-
25 октября 2018 г. , редакция: 25 октября 2018 г.
-
попробуйте что-то вроде того (не проверялось)Код
$inp_array_names = array(
"geo_ids" => array('base_index_geo_id', 'IN', '%s'),
"okved_leads"=> array('okved_leads', 'IN', '%s'),
"register_from"=> array('register_from', '>', '%s'),
"register_to"=> array('register_to', '<', '%s'),
"closed_from"=> array('closed_from', '>', '%s'),
"closed_to"=> array('closed_to', '<', '%s'),
"email"=> array('email', '=', '1'), -
-
-
-
Новости
-
12 января
-
После выхода сборки 7.1 мы выпустили уже три патча, в каждом из которых улучшаем административную часть сайта. Сборка DIAFAN.CMS 7.1.3 уже доступна к установке.
-
15 декабря 2023 г.
-
Подводим итоги 2023 года. Выпустили новую сборку DIAFAN.CMS 7.1.1, вводим новые тарифы на аренду сайта и коммерческую поддержку и автообновления с января 2024 г., строим планы на будущий год.
-
25 июля 2023 г.
-
Выпустили очередную сборку DIAFAN.CMS 7.0.1. Она уже доступна к установке.
Блоги
-
12.01.2024
-
В данном руководстве познакомим вас с панелью управления DIAFAN.CMS
Блоги
-
15.12.2023
-
В новой сборке DIAFAN.CMS 7.1.1 мы расширили функциональность баннеров, уделили внимание YML-фиду для Яндекс.Маркет, улучшили “Настройки шаблона”, оформили модуль лога действий и разработали “Заметки” для пользователей административной части сайта. Также проработали замечания и предложения наших пользователей, исправили несколько ошибок.