Задать вопрос
@MdaUZH
php

Prepare statement для поиска?

Всем привет.

Делаю поиск, и подумал, правильно ли я его делаю, в плане защиты от sql-иньекций.

Делаю такой запрос:
SELECT r.*, u.nickname AS 'u_name', t.taste, t.recept_id 
FROM recept AS r 
LEFT JOIN users AS u ON u.id = r.user_id 
LEFT JOIN tastes AS t ON t.recept_id = r.id 
WHERE r.name LIKE '%ppl%' AND t.taste LIKE '%дк%'

"ppl" и "дк" -> пришли от пользователя по _GET .
Причем тут и нет бинда параметров или же какой-то реальной защиты..

Сам вопрос вот в чем, нужна ли тут собственно защита?
Что можно будет сделать если оставлю такой запрос?

Спасибо
  • Вопрос задан
  • 97 просмотров
Комментировать
Подписаться 1 Оценить Комментировать
Помогут разобраться в теме Все курсы
  • Skillbox
    Веб-разработчик на PHP
    9 месяцев
    Далее
  • Хекслет
    PHP-разработчик
    10 месяцев
    Далее
  • Нетология
    Веб-разработчик с нуля: профессия с выбором специализации
    14 месяцев
    Далее
Пригласить эксперта
Ответы на вопрос 2
@dimabdc
Пользовательскому вводу никогда нельзя доверять!
Почитайте https://habrahabr.ru/post/148151/
Ответ написан
Комментировать
Комментировать
@res2001
Developer, ex-admin
Однозначно Prepare statements для поиска!
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
PHP-разработчик
FoodSoul Калининград
от 180 000 до 250 000 ₽
PHP- разработчик (Symfony)
IT-Spirit Москва
от 230 000 до 320 000 ₽
PHP dev (Symfony, RabbitMQ)
IT ATLAS Москва
от 250 000 до 500 000 ₽
Ещё вакансии