Ответ на комментарий от Difrex
Сегодня появилось немножко свободного времени, и я решил таки разобраться со станцией
Конкретно здесь ложная тревога. Ты, наверное, не заметил, что перед запуском этого кусочка кода сообщение эскейпится через prepareInsert, внутри которого вшит $db->real_escape_string
В getMessages эскейпится аналогично, в getMsgList и countMessages стоит жёсткий фильтр на все параметры внутри filter.php, так что зараза не пройдёт.
Не надо уж меня совсем дремучим говнокодером считать =)
Любые, даже начинающие, PHP-шники про SQL-инъекции думают сразу на стадии проектирования, и эта проблема съедает немалую часть времени на кодинг.
> Сабж. Ругается на базулькуЭто обычно бывает, когда демон mariadb подыхает. Надо глянуть логи сервера
> Функция executeQuery вызывается довольно часто и туда педаются данные путем слияния строк, напримерСпециально прошерстил исходники на предмет сырых запросов.
> Строка 285 файла transports.php
Конкретно здесь ложная тревога. Ты, наверное, не заметил, что перед запуском этого кусочка кода сообщение эскейпится через prepareInsert, внутри которого вшит $db->real_escape_string
В getMessages эскейпится аналогично, в getMsgList и countMessages стоит жёсткий фильтр на все параметры внутри filter.php, так что зараза не пройдёт.
Не надо уж меня совсем дремучим говнокодером считать =)
Любые, даже начинающие, PHP-шники про SQL-инъекции думают сразу на стадии проектирования, и эта проблема съедает немалую часть времени на кодинг.
> Да, в пхп можно отключить вывод ошибок в браузер, что лучше сделать :)Я его как раз специально включил, причём поставил самый verbose-уровень, чтобы быстро можно было понять, в чём проблема, и починить. Оно даже на варнинги бросает исключение и прерывает исполнение всего кода.
vit01 (2018-11-17 09:03:28)
[Ответить]