На чем наформошлепить учетную систему?

То, что ты выбрал - наносное. Оно имеет к модели данных лишь опосредованное отношение. Откуда можно заключить, что никакой модели данных, с которой ты собираешься работать, у тебя не сложилось.

Qt/С++.

Там выше тебе Лазурус предлагали ещё, но я советую - беги от Паскаля/Делфи - это быстрыми темпами умирающая система.

да ты не ищешь легких путей

плюсую

Про Qt не знаю, но для wxWidgets раньше питоновские компоненты были разнообразнее и богаче чем C++ варианты. Понятно что основа на C++, но на питоне было много дополнительного. Да wxPython тоже вполне нормальный вариант для топикстартера, есть даже формошлепки в стиле дельфи и всякие богатые компоненты для таблиц.

Не знаю, написали тебе или нет, но сюда инъекцию пропихнуть можно, скорее всего. Ну и SELECT * - такое себе (особенно если ты потом работаешь с результатами как с ассоциативным массивом). Ещё нет ORDER BY - то есть порядок вообще не определён - и может быть совершенно рандомным.

nodejs + express + vue + pg. //fixed

Надо формошлепить для диплома (и других заданий в шараге) учетные системы и их части.

VFP.
Просто и со вкусом …

lyaliks_user, что выбрал?

Что значит можно? Банальное OR 1 = 1 должно пройти.

Не может быть всё так плохо, что человек не проверит запрос перед этим.

https://github.com/lsfusion/platform

По мотивам выбора Vue.js, «в 2013 году сотрудник Google Эван Ю (Evan You), работая над одним из проектов, пришёл к выводу, что не существует готовых решений для быстрого прототипирования сложных пользовательских интерфейсов веб-приложений».

зы. 2013 delphi с потомками уже похоронили, а еще ничего нет «для быстрого и сложного». Это так, комментарий к разумности происходящего.

«можно» - это я так написал потому, что не уверен, что он там переменные выше где-то к инту не приводит, например. Если приводит, то инъекция уже не пролезет.

и как инъекцию то пропихнуть? Это обычный запрос на выборку, как на php.net

lazarus

Если ты переменные, значения которых получены извне (от юзера), напрямую в текст запроса подставляешь (не параметризацией), то туда тебе могут подсунуть что-то типа ;DROP TABLE users. И получится SELECT * FROM data WHERE field1 = ;DROP TABLE users. То есть запрос на удаление таблицы users может внезапно выполниться. Я очень примерно объяснил - там много вариантов, на самом деле. Погугли про sql-инъекции.

Не от юзера, там типа нажимаешь на ссылку (типа file.php?module1) php чекает адрес страницы и смотрит что с этим делать, какой запрос слать. Я знаю про то что надо проверять.

Так в ссылку ж можно что угодно сунуть, или я чего-то не понял?

Переменные для sql запроса берутся и гет-параметра?

Нет конечно ты что это? Анализируется get параметр а уже пых чекает его интерпретирует какой запрос сделать. С левых параметров в get просто идет перенаправление.

А, тогда ок.

Если в get будет что то мутное неучтенное пых просто перенаправит на главную страницу.

Вот начало проверки:

$r = $_SERVER['REQUEST_URI'];
$p = explode("?", $r);
$pl = count($p);
if($pl < 2) {
	header('Location: https://www.example.com');
}

Так это ж ничего не даёт, потому что ты проверяешь только количество параметров. От sql-инъекции это не защитит. Но если ты дальше именно их значения проверяешь, то ок.

1. Это пример? Или просто говнокод?
2. Почему бы просто не получить список гет-параметров в суперглобальном массиве? Ваш метод загнётся, если ввести пару знаков вопроса в юрл.
3. Это не проверка на sql-инъекцию.

sql инъекция в данном случае не возможна.

я вполне ясно написал что это только начало проверки.