2 replies to this topic

[mestreteia]

Estou trabalhando com ODBC para comunicação com banco de dado, no caso, estou utilizando MySQL. Também estou tentando trabalhar com parâmetros, por questões de segurança. Acontece que o resultado da query, utilizando o parâmetro, fica completamente louco. O resultado é mostrado assim:

login - 
- nome - ð‘|=


E este é o código:

<?
//$login e $senha recebem valor de sessão

$conn = odbc_connect("banco", $login, $senha);

$SQL = "SELECT * FROM tabela WHERE [B]$login = ?[/B]";

$prep = odbc_prepare($conn, $SQL);
$res = odbc_execute($prep, [B]array($login)[/B]);

while (odbc_fetch_row($prep)){
echo "login - ".odbc_result($prep,"col1");
echo "- nome - ".odbc_result($prep,"col2")."<br>";
}

Versão do PHP 4.3.

Edição feita por: mestreteia, 29/03/2005, 13:52.

[<? thales ?>]

Para que serve o login=?

[mestreteia]

Quando vc coloca queries para serem executadas pelo PHP, vc tem que tomar cuidado para o fato de pessoas poderem injetar um código malicioso nela. Tipo:

select * from table where id=12345;shutdown

E o cara pode injetar sim porque ele pode colocar aspas em algum campo que será lido pelo PHP. E esse campo é uma variável que está dentro da query.

Para evitar isso, vc pode parametrizar a query colocando um símbolo de escape, tipo "?". Depois é que vc vai dizer o que recebe esse símbolo, como no exemplo que eu dei no início.