PHP, PDO. Чем в PDO заменить sqlite_escape_string() ?

0

1

Здравствуйте!

В PHP есть один странный момент, который я все никак не могу понять.

В PDO почему-то не предусмотрено экранирование опасных символов. До некоторого момента пользовался sqlite_escape_string() при работе с SQLite через PDO, но начиная с PHP 5.4.0 эту функцию выпилили.

Вопрос. Чем ее заменять функцию sqlite_escape_string()?

Ссылка

←	Bug tracking system -> PHP server

php-fpm

→

вы до сих пор составляете запрос конкатенацией вместо параметров? вроде уже давно 21-век на дворе.

maloi ★★★★★
(16.10.13 11:39:49 MSK)

вот тебе ссылка с примерами как делать надо вместо эскейпа строк http://www.php.net/manual/en/pdostatement.bindparam.php

maloi ★★★★★
(16.10.13 11:42:16 MSK)

Ответ на: комментарий от maloi 16.10.13 11:39:49 MSK

Я адаптирую старый БД драйвер, который только полностью переписать на объектный стиль можно, а это слишком трудозатратно.

Требуется всего только исправить функцию:

/**         
* Escape String         
*         
* @access      public         
* @param       string         
* @return      string         
*/        
function escape_str($str)        
{
 return sqlite_escape_string($str);        
}

Сейчас просто сделал возврат необработанной строки, работает, но оставлять в таком виде нехорошо.

Xintrea ★★★★★
(16.10.13 11:45:50 MSK) автор топика

Ответ на: комментарий от maloi 16.10.13 11:42:16 MSK

Биндить - это другое, смотри функцию мессагой выше.

Xintrea ★★★★★
(16.10.13 11:47:18 MSK) автор топика

Ответ на: комментарий от Xintrea 16.10.13 11:47:18 MSK

Биндить - это правильно, а функция мессагой выше может использоваться только в говнокоде. Поддерживать кучу говнокода трудозатратнее, чем переписать драйвер на нормальный стиль.

maloi ★★★★★
(16.10.13 12:04:17 MSK)

Ответ на: комментарий от maloi 16.10.13 12:04:17 MSK

Биндить - это правильно, а функция мессагой выше может использоваться только в говнокоде. Поддерживать кучу говнокода трудозатратнее, чем переписать драйвер на нормальный стиль.

Этот опенсорчный говнокод уже как пять лет прекрасно отработал без всякого обслуживания, и еще отработает при нулевых трудозатратах.

Но если вы не знаете ответа на вопрос, можно было не отвечать.

Xintrea ★★★★★
(16.10.13 12:09:38 MSK) автор топика

Ссылка

Ответ на: комментарий от maloi 16.10.13 12:04:17 MSK

Поддерживать кучу говнокода трудозатратнее, чем переписать драйвер на нормальный стиль.

Такое надо снабжать двумя лопатами смайликов, иначе в дурочки запишут.

~~arturpub~~ ★★
(16.10.13 12:58:50 MSK)

Ссылка

Ответ на: комментарий от Xintrea 16.10.13 11:45:50 MSK

Можно вопрос? Если поискать в исходниках - сколько случаев использования этой функции насчитаете?

svu ★★★★★
(16.10.13 13:12:43 MSK)

http://bit.ly/GXU2dN

linuxnewb ★
(16.10.13 15:01:02 MSK)

Ссылка

PDO::quote()

http://www.php.net/manual/en/pdo.quote.php

Только, видимо, придётся делать так:

return substr($pdo->quote($string), 1, -1);

sjinks ★★★
(16.10.13 19:31:16 MSK)

делайте через prepare - остальное от лукавого

swwwfactory ★★
(17.10.13 11:52:46 MSK)

Ссылка

Ответ на: комментарий от svu 16.10.13 13:12:43 MSK

Можно вопрос? Если поискать в исходниках - сколько случаев использования этой функции насчитаете?

Честно говоря, не могу сказать.

Это драйвер БД один из набора MySql, MSSql, Oci8, Odbc, Postgre, SQLite2 и вот еще он - SQlite3 на базе PDO.

В проекте динамически подключется код нужного драйвера, он переопределяет методы базового драйвера (верхним кодом вроде используются не все методы). Ну и подключение происходит вообще путем динамической генерации кода, типа такого:

if ( ! isset($active_record) OR $active_record == TRUE)
        {
                require_once(BASEPATH.'database/DB_active_rec'.EXT);

                if ( ! class_exists('CI_DB'))
                {
                        eval('class CI_DB extends CI_DB_active_record { }');
                }
        }
        else
        {
                if ( ! class_exists('CI_DB'))
                {
                        eval('class CI_DB extends CI_DB_driver { }');
                }
        }

require_once(BASEPATH.'database/drivers/'.$params['dbdriver'].'/'.$params['dbdriver'].'_driver'.EXT);

Xintrea ★★★★★
(19.10.13 09:16:52 MSK) автор топика

Ссылка

Ответ на: комментарий от sjinks 16.10.13 19:31:16 MSK

http://www.php.net/manual/en/pdo.quote.php
Только, видимо, придётся делать так:
return substr($pdo->quote($string), 1, -1);

Во, походу это самое простое решение, что-то я сразу не сообразил. Работает.

Xintrea ★★★★★
(19.10.13 09:32:42 MSK) автор топика

Ответ на: комментарий от Xintrea 19.10.13 09:32:42 MSK

Говонокод юзаем, говнокод пишем, мануалы не читаем. Так победим.

If you are using this function to build SQL statements, you are strongly recommended to use PDO::prepare() to prepare SQL

Fafhrd ★
(19.10.13 13:07:15 MSK)

Ответ на: комментарий от Fafhrd 19.10.13 13:07:15 MSK

Ты разницу между обработкой строки и обработкой всего SQL запроса понимаешь?

Xintrea ★★★★★
(19.10.13 13:26:03 MSK) автор топика

Ответ на: комментарий от Xintrea 19.10.13 13:26:03 MSK

этот твой вопрос еще раз говорит о том, что мануалы ты не читаешь. не верь цитатам, вырванным из контекста, никогда.

ходить по ссылкам некогда же, да?

Fafhrd ★
(19.10.13 17:54:57 MSK)

Ответ на: комментарий от Fafhrd 19.10.13 17:54:57 MSK

Слышь чо, таварищь, прекращай гаварить загадками, уже достало. Каждый мля чо-та видит в мануалах такого что другие не видят. Мануал читал, ничего интересного не нашел. Либо ты пишешь прямо, либо звиздуешь в пень.

Xintrea ★★★★★
(19.10.13 22:45:48 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Bug tracking system -> PHP server

Web-development

php-fpm

→

Похожие темы