Administrace komentářů

Z tejto problematiky mam vcelku migreny.

Co sa tyka klasickych premennych prenasanych POST na generovanie sql
1.a :  mysql_real_escape_string pre string, a is_numeric pre ciselne nodnoty
1.b : prepare statements (mysqli,pdo a ine..) 
(Šangala: dik moc za ten prepis do prepared, ak by bolo viac ? bindovalo by sa
 to predpokladam tak nejak: $stmt -> bind_param("ss", $user, $pass); ?)

A teraz k tomu zakliatemu predavaniu nazvov tabuliek/stlpcov.

Zacnime tym, ze sa to klasicky osetri mysql_real_escape_string, nasledne pouziju 
function getValidNameOfTable($tableName), function getValidId($id) , kde sa zisti
ci taka tabulka naozaj i existuje v db a ci v nej existuje polozka s danym id, cim 
sa vihne pripadnym eror hlaskam. 

Ostava tu ale ako ma neprijemne poucili, ze utocnik zmeni hodnotu nazvu tabulky v 
hidden form inpute, na nazov neakej inej, ktora skutocne existuje v danej databaze, 
a necha tym padom vykonat nasledny kod na inej tabulke ako by sa malo.

 zvažte raději možnost mít jednu tabulku zbozi a druhou 
kategorie což bude číselník a obě tabulky přes cizí klíč provážete 


Presne takto to mam.

Vzhladom na konkretnu situaciu, v get je id kategorie- co je cudzi kluc ktorym ziskam 
nazov tabulky, a nasledne na stranke vypisem produkty, v tvare formularov pre kazdy 
jeden, s hidden inputmy realneho nazvu ziskanej tabulky, a id produktu.

Urcite je na hlavu posielat takto nazvy tabuliek, ale na probleme nic nezmeni ani 
posielanie neakeho cudzieho kluca, utocnik si namiesto ziskania peknych nazvov 
tabuliek, ziska tie forgein key hodnoty (ci uz neake hash hodnoty alebo cisla) a 
bude zaskodnicky podsuvat tie, co da rovnaky vysledok, ze moj php kod bude mat 
snahu vykonat nieco na inej tabulke ako ma.

Kamarat mi poradil, ze riesenie vidi v zavedeni skupin tabuliek, nad ktorymi ma pravo 
operovat (dany php subor alebo uzivatel, a to implementovanim asi najednoduchsie do 
medzitabulky tabuliek pridelit kazdej tab hodnotu neakeho bezpecnostneho stupna/pripadne druhu), 
a kontrolovat to napr v getValidNameOfTable($tableName)

V pripade podsunutia keyid inej tabulky, ktora by bola v poli akceptovatelnych,by 
prinajhorsom viedlo, ze do kosika prida neaky plne iny produkt z inej kategorie, 
resp komplikovany psosob, ako si objednat nieco ine.


Celkovo ale taketo riesenie predavania tab names mi teraz (ano sebakritika :)) pride 
dost strasny.


Pro běžné aplikace je dost neobvyklé skládat dotaz s proměnnými pro název tabulky či 
sloupce, a pokud je to nutné.

Je to nutne, priklady tu spomenute su len stipkou, neakym sposobom prenasat nazvy 
tabuliek jednoducho musim, s tym sa neda hnut.


 tak to stejně neventilujete přes venek, ale máte na to své fce či třídu a rozhodně 
nepustíte z pole jako GET hodnotu do dotazu jako název tabulky či sloupce. 

Prooosim velmi pekne o neaky priklad takejto funkcie triedy, alebo hocakeho ineho sposobu
 ako prenasat nazov tabulky z jednej stranky na druhu, po potvrdeni formulara, bez 
toho aby to utocnik mohol menit na co chce :(


Jednou glob tabulkou by sa to riesit dalo, ale takejto mega ultra gigantickej tab som 
sa chcel vsemozne vyhnut.