NZ
Size: a a a
2016 April 19
NZ
было утверждение от @sarghayk, что только prepared statements защитят от инъекций
NZ
мне оч инетересно, почему escape не работает
HS
Нет
HS
Prepared это совсем другое, там escape как таковой и не нужен
GK
есть предложение сделать по другому - если передается запрос с парметрами, то он выполняется как preparedStatement со всеми биндингами, но только одно выражение в запросе
GK
если без параметров - то ничего не подставляем и не биндим, но может выполнять сразу несколько выражений за раз
HS
Это другое, чтоб на уровне сети не ломать
HS
Я про это
GK
Аналогично работает API в постгресе - либо биндим параметры, либо имеем возможность делать несколько выражений
GK
мультиплексоры нельзя выполнять если мы хотим использовать параметры
GK
это в PG
HS
Да, с мускулем зачем они вообще?
HS
Да
GK
Unlike PQexec, PQexecParams allows at most one SQL command in the given string. (There can be semicolons in it, but not more than one nonempty command.) This is a limitation of the underlying protocol, but has some usefulness as an extra defense against SQL-injection attacks.
GK
или я что-то не то понимаю под мультиплексором
GK
RT
короче, вердикт давайте
RT
как параметры делать в mysql