будут зависеть от пользователя
pg_query_params не работает у меня как надо, и мне пришлось от него отказаться
И такой вопрос, если я буду вставлять введенное от пользователя в 'тут' такие скобки, есть угрозы инъекции?
По сути запрос таков
SELECT * from spec_table WHERE = 'ввод пользователя'
Ребят ну что скажете?
Тогда как лучше сделать?
кто вас знает, что вы хотите сделать
Я же описал в сообщение
конечно есть, сделать надо - нормальный драйвер скл поставить, с нормальным биндингом
Выше уже сказали, что надо использовать нормальный драйвер, но если очень хочется, можно написать свое экранирование строкового литерала. Это очень просто делается.
pg_escape_literal()
Кстати, что не так с pg_query_params()?
Ни в коем случае так не делай! Только через подготовленные выражения
Проблема была в том что у меня в запросе используется #> и при вставлении $1 весь запрос после # просто комментировался, в итоге я сейчас перебрал всё что мог и добавил $1 через . и ", поспал и на свежую голову пришла эта идея
Это самый лучший способ во избежании атаки через SQL.
Обсуждают сегодня