CodeIgniter. Zaawansowane tworzenie stron w PHP - Helion

More documents

Recommendations

Info

$C:\Andrzej\PDF\Hakerzy. TechnoanarchiÅci ... - Czytelnia - Helion$

126 <strong>CodeIgniter</strong>. <strong>Zaawansowane</strong> <strong>tworzenie</strong> stron w PHP Metoda query() Same zapytania wysyane do bazy danych konstruuje si w jzyku SQL w implementacji odpowiadajcej zastosowanej bazie danych. Jednak ze wzgldu na obowizujce standardy w wikszoci przypadków skadnia SQL jest bardzo podobna. W jzyku PHP do uzyskiwania wyników zapyta SQL wykorzystuje si metod query(). Parametrem tej metody jest zapytanie w jzyku SQL. Na listingu 4.10 przedstawiono przykad prostego zapytania do bazy danych. Listing 4.10. Zapytanie do bazy danych } $this->db->query('SELECT * FROM tabela'); W przypadku zapytania SQL pobierajcego dane z bazy danych, takiego jak SELECT, metoda query() zwraca obiekt zbioru wyników odpowiadajcy wykonanemu zapytaniu. W dalszej czci rozdziau pokaemy, w jaki sposób mona przetworzy ten obiekt. W pozostaych przypadkach (kiedy w wyniku zapytania nie otrzymujemy zbioru danych) wartoci przekazan przez metod query() jest TRUE, gdy zapytanie zostanie poprawnie wykonane, lub FALSE, gdy nastpi bd. Zabezpieczanie danych (escape, escape_str i escape_like_str) Aby uchroni swoj aplikacj przed atakami typu SQL Injection, trzeba pamita o przefiltrowaniu danych przed ich wprowadzeniem do zapytania SQL i wysaniem do bazy danych. Jest to bardzo wane ze wzgldu na bezpieczestwo naszej aplikacji. W tabeli 4.1 przedstawiono dostpne w <strong>CodeIgniter</strong>ze metody umoliwiajce zabezpieczanie danych wpisywanych przez uytkownika poprzez wstawianie lewych ukoników przed znakami specjalnymi, takimi jak apostrof czy cudzysów.
Rozdzia 4. Sterowniki systemu do obsugi bazy danych 127 Tabela 4.1. Metody zabezpieczajce dane Metoda Opis Przykad $this->db->escape() $this->db->escape_str() $this->db->escape_ like_str() Odpowiedni tylko dla cigów znakowych Odpowiedni dla wszystkich danych, bez wzgldu na ich typ Odpowiedni dla cigu znakowego wykorzystanego jako parametr w zapytaniach z uyciem sowa kluczowego LIKE $Sql = "INSERT INTO tabela (tytul) VALUES (".$this-> db->escape($Tytul).")"; $Sql = "INSERT INTO tabela (tytul) VALUES('".$this-> db->escape_str($Tytul)."')"; $Tytul = '20% upustu'; $Sql = "SELECT id FROM tabela WHERE tytul LIKE '%".$this->db->escape_like_ str ($Tytul)."%'"; Bezpieczne zapytania (query) Zastosowanie tego typu zapyta pozwala na zapewnienie wikszego bezpieczestwa aplikacji, poniewa programista nie musi pamita o sprawdzaniu danych wejciowych. Sterownik bazy danych <strong>CodeIgniter</strong>a zapewni odpowiednie filtrowanie danych (listing 4.11). Listing 4.11. Tworzenie zapytania wizanego } $this->db->query($Zapytanie, $Parametry); Metoda query() przyjmuje w tym przypadku dwa parametry. Pierwszym jest zapytanie do bazy danych wraz ze znakami zapytania (?) w miejscach, w których powinny si znale konkretne wartoci. Drugim parametrem jest tablica z tymi wanie wartociami.
Page 2 and 3: Wszelkie prawa zastrzeżone. Nieaut
Page 4 and 5: 4 CodeIgniter. <st
Page 10 and 11: 10 CodeIgniter. <s
Page 12 and 13: 120 CodeIgniter. <
Page 38: 270 CodeIgniter. <

CodeIgniter. Zaawansowane tworzenie stron w PHP - Helion

Create successful ePaper yourself

Delete template?

Save as template?