Если же говорить о моем ответе, то непонятна твоя реакция. Ты действительно считаешь, что здесь может быть что-то, кроме "мнения", и при этом - единственно правильное?
rework: по-хорошему ,модераторы должны удалять такие вопросы. А гугль - не индексировать как релевантную страницу, если ответ не принят. Если лично я даю ответ вида "гугли", то всегда проверяю - находится ли что-нибудь. Чаще всего ведь действительно ищут общеизвестные вещи
rework: у всех бывают. Гугл не кончается на первой строчке выдачи. А у меня бывает вообще ужас - переходишь, читаешь ответ, а все равно ничего непонятно.приходится еще несколько результатов открыть, чтобы начать понимать тему.
1. В случае с инъекцией второго порядка инъекция через "результат работы другого запроса" будет таки "явной". 2. В фразе "защита от внешнего воздействия" ключевым словом опять-таки является слово "внешнего", что неправильно. Источник неверно отформатированных данных нас не должен волновать. Вообще. Внутренние они или внешние. Любое значение, которое приходит через переменную (кроме хардкода) является заведомо неизвестным и должно форматироваться полностью, а не частично.
Зря ты обиделся. Удивительно нестойкая психика у похапешников. Жаль, ты казался умнее. Но как только тебе сделали замечание - все, истерика и слезы. Надеюсь, это временно, и ты найдешь в себе мужество признать свою неправоту и рассудительность, чтобы понять смысл того, что я сказал. В защите от инъекций главное - защищаться от них. Вне зависимости от того, видит кто-то возможность, или нет. И про инъекции второго порядка почитай все-таки. Это как раз чтение для тех, кто рассуждает про "видение возможностей"
Сдается мне, что ты имел стандартную ошибку Commands out of sync, которая действительно вызывается наличием непрочитанных результатов. Если же ты считаешь, что у тебя было что-то другое, то хотелосьт бы хоть какой-то конкретики, типа текста ошибки, названия мусорщика, ссылок на статьи. А не беллетристики про JSON
Ты что-то напутал. При наличии "вторички" соединение спокойно закрывается, без всяких ошибок. Никаких "вторых страниц" во "вторичке" быть не может. Она бывает только если ты работаешь с хранимой процедурой или выполнил мультизапрос. Я не холиварю, я хочу понять, где ты запутался..
ну вот, ты не слышал даже детскую страшилку про инъекции второго порядка, а берешься рассуждать про инъекции :) Но даже не это главное - тебя даже не смутила строгая идентичность моей аналогии. То есть, ты берешься защищаться от инъекций в стиле "здесь копать, здесь не копать". Это прямая дорога поиметь инъекцию, имей в виду.
olamedia .: я же тебе все расписал отдельным комментарием. Само по себе слово "экранировать" - неточное, бессмысленное и вредное. Оно не несет никакой конкретики, но зато имеет вполне устоявшееся неверное толкование - "добавление слешей для защиты от инъекцицй". Если кто-то хочет дать полезный ответ, то он должен в подробностях расписать - что, как и в каких случаях надо форматировать, и какие правила форматирования надо соблюдать. Иначе, если попытаться сжульничать и заменить подробное описание словом "экранировать", польза будет отрицательная. Потому что нуб поймет по-своему, и будет считать escape_string универсальной защитой от инъекций (что нам и продемонстрировал ТС).
Ахахахаха, я так и думал :) То есть, ты даже приблизительного представления не имеешь, что это за "вторичные результаты", откуда они берутся и что могут содержать :)
