Postgresql Perl SQL-injection

0

1

sub delete {
    my $self      = shift;
    my $dbh       = shift;
    my $statement = "DELETE FROM typework WHERE id = ? ";
    my $sth       = $dbh->prepare($statement);
    my $rv        = $sth->execute( $self->id ) || $self->result_sql("false");
    return $self->json;
}

DBD::Pg::st execute failed: ERROR: invalid input syntax for integer: «5;select+version()::int--»
at /xxxx/Typework.pm line 150.

Данный код не подвержен SQL-injection? При любом вводе хочет integer.

Со строками так же не будет проблем в других SQL-запросах?

Ссылка

←	И снова sed

[Qt][StyleSheet]Создание своих pseudo-state

→

> Данный код не подвержен SQL-injection?

Со строками так же не будет проблем в других SQL-запросах?

Не подвержен.

Также.

Вы на уровне кода в этом примере разделяете SQL и данные к SQL-ю.

gandjubas ★
(27.03.11 03:02:00 MSK)

Ссылка

Единственная вещь, которую стоило бы поменять - это не готовить (prepare) запрос каждый раз. Т.к. подготовленные запросы позволяют ускорить программу за счет отсутствия необходимости в повторном разборе sql.

olegk ★★
(27.03.11 10:02:25 MSK)

Ссылка

Немного оффтопик - советую посмотреть на проект greensql

pinachet ★★★★★
(27.03.11 21:33:09 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	И снова sed

Development

[Qt][StyleSheet]Создание своих pseudo-state

→

Похожие темы