Как Вы предотвращаете Внедрение SQL в приложениях ЛАМПЫ?
Когда вы объявляете ссылочную переменную (т. е. объект), вы действительно создаете указатель на объект. Рассмотрим следующий код, в котором вы объявляете переменную примитивного типа int:
int x;
x = 10;
В этом примере переменная x является int, и Java инициализирует ее для 0. Когда вы назначаете его 10 во второй строке, ваше значение 10 записывается в ячейку памяти, на которую указывает x.
Но когда вы пытаетесь объявить ссылочный тип, произойдет что-то другое. Возьмите следующий код:
Integer num;
num = new Integer(10);
Первая строка объявляет переменную с именем num, но она не содержит примитивного значения. Вместо этого он содержит указатель (потому что тип Integer является ссылочным типом). Поскольку вы еще не указали, что указать на Java, он устанавливает значение null, что означает «Я ничего не указываю».
Во второй строке ключевое слово new используется для создания экземпляра (или создания ) объекту типа Integer и переменной указателя num присваивается этот объект. Теперь вы можете ссылаться на объект, используя оператор разыменования . (точка).
Exception, о котором вы просили, возникает, когда вы объявляете переменную, но не создавали объект. Если вы попытаетесь разыменовать num. Перед созданием объекта вы получите NullPointerException. В самых тривиальных случаях компилятор поймает проблему и сообщит вам, что «num не может быть инициализирован», но иногда вы пишете код, который непосредственно не создает объект.
Например, вы можете имеют следующий метод:
public void doSomething(SomeObject obj) {
//do something to obj
}
В этом случае вы не создаете объект obj, скорее предполагая, что он был создан до вызова метода doSomething. К сожалению, этот метод можно вызвать следующим образом:
doSomething(null);
В этом случае obj имеет значение null. Если метод предназначен для того, чтобы что-то сделать для переданного объекта, целесообразно бросить NullPointerException, потому что это ошибка программиста, и программисту понадобится эта информация для целей отладки.
Альтернативно, там могут быть случаи, когда цель метода заключается не только в том, чтобы работать с переданным в объекте, и поэтому нулевой параметр может быть приемлемым. В этом случае вам нужно будет проверить нулевой параметр и вести себя по-другому. Вы также должны объяснить это в документации. Например, doSomething может быть записано как:
/**
* @param obj An optional foo for ____. May be null, in which case
* the result will be ____.
*/
public void doSomething(SomeObject obj) {
if(obj != null) {
//do something
} else {
//do something else
}
}
Наконец, Как определить исключение & amp; причина использования Трассировки стека
5 ответов
как @Rob состояния Walker, параметризированные запросы являются Вашим лучшим выбором. Если бы Вы используете последний и самый большой PHP, я настоятельно рекомендовал бы взгляд на PDO (Объекты данных PHP). Это - собственная библиотека абстракции базы данных, которая имеет поддержку широкого спектра баз данных (включая MySQL, конечно), а также подготовленные операторы с именованными параметрами.
Подготовленные операторы являются лучшим ответом. У Вас есть тестирование, потому что можно сделать ошибки!
Посмотрите этот вопрос.
PDO может стоить того однажды, но это еще не просто там. Это - DBAL, и это - strengh, должен (предположительно), сделать переключение между поставщиками более легче. Это не действительно сборка для ловли Внедрений SQL.
Во всяком случае Вы хотите выйти и санировать Ваши исходные данные, использование подготовленных операторов могло быть хорошей мерой (я второй это). Хотя я полагаю, что это намного легче, например, путем использования фильтра.
Я пошел бы с использованием подготовленных операторов. Если Вы хотите использовать подготовленные операторы, Вы, вероятно, хотите проверить функции PDO для PHP. Мало того, что это позволяет Вам легко выполнить подготовленные операторы, это также позволяет Вам быть немного большим количеством агностика базы данных, не вызывая функции, которые начинаются с mysql _, mysqli _, или pgsql_.
Я всегда использовал первое решение потому что 99% времени, переменных в $_GET, $_POST, и $_COOKIE никогда не производятся к браузеру. Вы также никогда не будете по ошибке писать код с Внедрением SQL (если Вы не будете использовать кавычки в запросе), тогда как со вторым решением Вы могли легко забыть выходить из одной из своих строк в конечном счете.
На самом деле причина, я всегда делал это тот путь, состояла в том, потому что все мои сайты имели установку magic_quotes на по умолчанию, и после того как Вы написали много кода с помощью одного из тех двух решений, требуется большая работа для изменения на другую.