Защита от недоразумений с выбором из таблички

[DDHR]

я собираюсь для прочтения подробностей новости сделать скрипт, который бы выводил по id колонку details, НО если я буду писать ссылку на скрипт, который их будит выводить, например:

... news/details.pl?id=id_новости


то в скрипте я не могу ведь делать:

$id=param(\'id\');
$sth = $dbh->prepare("SELECT * FROM news where id = $id")|| die "$DBI::errstr";
$sth->execute;

а ведь могут написать в URL что-то вроде:
DROP TABLE ...

и скрипт, не расчитыая такого поворота событий  будет делать, то что ему будут говорить злоумышленники
ведь может такое быть, если ДА, то как в моём примере этого избежать?

[Макс]

проверяй, чтобы там число было. Например так:

Код: [Выделить]

unless ($id =~ /^[0-9]+$/) {
   print "wrong news ID";
   exit;
}

[DDHR]

а если я например захочу выводить сведения профиля по логину, то там будит обращение вида:

?user=login

$user=param(\'user\');
$sth = $dbh->prepare("SELECT * FROM users where user = $user")|| die "$DBI::errstr";
$sth->execute;


как проверять тогда?

[Chs]

perldoc DBI в части placeholders

[DDHR]

А вы не скажете по подробнее? Я не понял где и что смотреть, а лучше если не трудно, то опишите ситуацию прямо здесь.

Спасибо за ранее.

[Chs]

Англицким по бэкграунду же написано:

       Placeholders and Bind Values

       Some drivers support placeholders and bind values.  Placeholders, also
       called parameter markers, are used to indicate values in a database
       statement that will be supplied later, before the prepared statement is
       executed.  For example, an application might use the following to
       insert a row of data into the SALES table:

         INSERT INTO sales (product_code, qty, price) VALUES (?, ?, ?)

       or the following, to select the description for a product:

         SELECT description FROM products WHERE product_code = ?

       The "?" characters are the placeholders.  The association of actual
       values with placeholders is known as binding, and the values are
       referred to as bind values.

       When using placeholders with the SQL "LIKE" qualifier, you must remem-
       ber that the placeholder substitutes for the whole string.  So you
       should use ""... LIKE ? ..."" and include any wildcard characters in
       the value that you bind to the placeholder.

Соответственно никакие :DROP TABLE .... не пройдут.

[DDHR]

Конечно Спасибо Вам, но я всё-таки и не понял как должен тогда выглядеть запрос к таблице? Я только на этой недели начал MySQL изучать...


?user=login

$user=param(\'user\');
$sth = $dbh->prepare("SELECT * FROM users where user = ?",$user)|| die "$DBI::errstr";
$sth->execute;


вот что по поводу LIKE:
... LIKE ...
Вернет TRUE (1) или FALSE (0)


Помогите запрос оформить правильно плз.

[DDHR]

Всё, я понял!!!

Мне кажется, надо оформить так:

?user=login

$user=param(\'user\');
$sth = $dbh->prepare("SELECT * FROM users where user = ?")|| die "$DBI::errstr";
$sth->execute($user);

да/нет ?

[commander]

-----------------------------------------------------------------------------------------
$user=param(\'user\');
$sth = $dbh->prepare("SELECT * FROM users where user = ?")|| die "$DBI::errstr";
$sth->execute($user);
-----------------------------------------------------------------------------------------