Задать вопрос
@MdaUZH
php

Prepare statement для поиска?

Всем привет.

Делаю поиск, и подумал, правильно ли я его делаю, в плане защиты от sql-иньекций.

Делаю такой запрос:
SELECT r.*, u.nickname AS 'u_name', t.taste, t.recept_id 
FROM recept AS r 
LEFT JOIN users AS u ON u.id = r.user_id 
LEFT JOIN tastes AS t ON t.recept_id = r.id 
WHERE r.name LIKE '%ppl%' AND t.taste LIKE '%дк%'

"ppl" и "дк" -> пришли от пользователя по _GET .
Причем тут и нет бинда параметров или же какой-то реальной защиты..

Сам вопрос вот в чем, нужна ли тут собственно защита?
Что можно будет сделать если оставлю такой запрос?

Спасибо
  • Вопрос задан
  • 97 просмотров
Комментировать
Подписаться 1 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 2
@dimabdc
Пользовательскому вводу никогда нельзя доверять!
Почитайте https://habrahabr.ru/post/148151/
Ответ написан
Комментировать
Комментировать
@res2001
Developer, ex-admin
Однозначно Prepare statements для поиска!
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
PHP-разработчик
Decart IT-production
от 260 000 до 340 000 ₽
Backend-разработчик PHP
Wanted. Москва
До 160 000 ₽
PHP разработчик
Lachestry Таганрог
от 170 000 до 200 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Провести техническое собеседование iOS - разработчика
30 нояб. 2024, в 20:02
10000 руб./за проект
Сделать с нуля backend для flutter приложения
30 нояб. 2024, в 19:40
1500 руб./в час
Создание персонажа и объектов для Character Animation
30 нояб. 2024, в 19:32
8000 руб./за проект
Ещё заказы