Citat:
Originalno napisao ivanhoe
Hmm, ajd proveri ti taj primer (ako sam ga dobro razumeo), jer backticks oko vrednosti 1 nije legalna sql sintaxa (sem ako imas polje u bazi koje se zove 1).
Taj napad bi mogao da se upotrebi ako je ime baze ili polja dinamicko i uzima se spolja bez provere, ali to je vec druga prica, jer te od toga ne stiti ni prepered statement. I tamo te vrednosti moraju da budu definisane u SQL-u prilikom prepare-ovanja, tako da bi to moglo da se hakuje na isti nacin.
|
Citat iz CI dokumentacije... Posto ima veze sa diskusijom iako nije direktan odgovor na gornji post.
In many databases it is advisable to protect table and field names - for example with backticks in MySQL.
Active Record queries are automatically protected, however if you need to manually protect an identifier you can use:
Kôd:
$this->db->protect_identifiers('table_name');