Ответ

moko 05.10.2020 12:42 / 05.10.2020 12:57

не надо ничего экранировать на случай наличия в $login апострофа, слэша или SQL-инъекции?

Не надо, оно само. Главное, не забывать '' вокруг $login. Вообще автоматический тейнтинг это сильная сторона парсера, в php например до сих пор только информируют о проблемах.

Можно поподробнее про оставшиеся 5%, когда нужно делать ^taint[sql]

Например когда подставляется значение из кода (не из внешних данных) и в нем могут быть '.

$login[д'Артаньян]
select * id from user where login='$login'

Здесь д'Артаньян написано разработчиком, поэтому автоматического экранирования не будет.

И где можно почитать про использование класса SQL, коннект которого описывается в cgi/auto.p?'

Это не класс, это просто хеш, в котором в частности задана таблица SQL-драйверов.
https://www.parser.ru/docs/lang/?parserconfmethod.htm

P.S. Чтобы экранировалось написанное разработчиком, можно делать так: $login[^taint[д'Артаньян]]

Биндинг параметров в запросах постгреса, virusav 05.10.2020 11:05
- Ответ, moko [M] 05.10.2020 12:06
  - Ответ, virusav 05.10.2020 12:22
    - Ответ, moko [M] 05.10.2020 12:42 / 05.10.2020 12:57

Новости	FAQ	Авторы	Документация	В действии	Библиотека
Инструменты	Полезные ссылки	Хостинги	Скачать	Примеры	Форум