parser

Написать ответ на текущее сообщение

 

 
   команды управления поиском

Ответ

moko 05.10 12:42 / 05.10 12:57

не надо ничего экранировать на случай наличия в $login апострофа, слэша или SQL-инъекции?
Не надо, оно само. Главное, не забывать '' вокруг $login. Вообще автоматический тейнтинг это сильная сторона парсера, в php например до сих пор только информируют о проблемах.
Можно поподробнее про оставшиеся 5%, когда нужно делать ^taint[sql]
Например когда подставляется значение из кода (не из внешних данных) и в нем могут быть '.
$login[д'Артаньян]
select * id from user where login='$login'
Здесь д'Артаньян написано разработчиком, поэтому автоматического экранирования не будет.
И где можно почитать про использование класса SQL, коннект которого описывается в cgi/auto.p?'
Это не класс, это просто хеш, в котором в частности задана таблица SQL-драйверов.
https://www.parser.ru/docs/lang/?parserconfmethod.htm

P.S. Чтобы экранировалось написанное разработчиком, можно делать так: $login[^taint[д'Артаньян]]