Starší komentáře ke článku: Autentizace pomocí filtrů - správce uživatelů

Zpět na článek | Úvodní stránka Interval.cz

Avatar

Autor komentáře: michal

Datum vložení: 27.12.2004 9:51:16

Nezkoušel jsem, ale přijde mi potencionálně nebezpečné sestavovat query jen ze stringů? Jak se to zachová, když vložím password např. 1 OR 1? :-) Třeba dobře, ale určitě by tam měl být PreparedStatement a setování parametrů.

Avatar

Autor komentáře: Radim Dostál

Datum vložení: 29.12.2004 18:41:30

Ukončení řetězce a vložení "nevhodných" znaků za něj, ošetřuji v metodě transorm (její tělo je v příloze ke stažení). Proto myslím, že tento problém nehrozí.
Co se týče PreparedStatement, myslím, že má uplatnění hlavně tam, kde se podobný SQL příkaz zopakuje několikrát po sobě, což není situace v článku.

Zpět na článek | Úvodní stránka Interval.cz