 |
 |
 |
 |
 |
|
Antwort
|
|
(Moderator)
Registriert seit: 9. Dez 2005 Ort: Heilbronn 39.851 Beiträge Delphi 11 Alexandria |
#2
Re: PHP - GET variable
1. Feb 2010, 14:15
Markus Kinzler
|
Zitat
|
|
Registriert seit: 31. Jan 2010 7 Beiträge |
#3
Re: PHP - GET variable
1. Feb 2010, 14:18
Gegenfrage: Wie sollte ich extra eine neue Variable nehmen?
 ich weiß schon, dass man es eigentlich nicht macht, aber es spricht doch im sinne der sicherheit nichts dagegen, oder? |
|
Zitat
|
Registriert seit: 11. Okt 2003 Ort: Elbflorenz 43.142 Beiträge Delphi 12 Athens |
#4
Re: PHP - GET variable
1. Feb 2010, 14:18
Garbage Collector ... Delphianer erzeugen keinen Müll, also brauchen sie auch keinen Müllsucher.
  my Delphi wish list : BugReports/FeatureRequests
|
|
Zitat
|
|
Registriert seit: 8. Nov 2007 Ort: Düren 55 Beiträge Delphi 10.4 Sydney |
#6
Re: PHP - GET variable
6. Feb 2010, 18:45
|
|
Zitat
|
(Co-Admin)
Registriert seit: 7. Jul 2003 Ort: Schwabenländle 14.929 Beiträge Turbo Delphi für Win32 |
#7
Re: PHP - GET variable
6. Feb 2010, 20:40
Ich würde es zwar auch nicht machen, aber es sollte keine Probleme verursachen.
Allerdings wäre es sinnvoll, bei SQL-Abfragen mit den sog. "prepared statements" zu arbeiten. Da erstellst du die Abfrage mit Platzhaltern und übergibst Typ der Parameter und die Parameter dann an diese maske. Den Rest erledigt PHP für dich. Ich habe mich da nun auch eingearbeitet und da muss man sich ums Escapen nicht mehr kümmern.  Hier findest du ein paar Beispiele.@Markus: Es kann sinnvoll sein, die Originalparameter zu verändern. Beispielsweise nutze ich das hier generell:
Code:
Grüße, Matze
// unset deprecated globals
unset($HTTP_GET_VARS, $HTTP_POST_VARS, $HTTP_COOKIE_VARS, $HTTP_SERVER_VARS, $HTTP_POST_FILES, $HTTP_ENV_VARS, $HTTP_SESSION_VARS); |
|
Zitat
|
Registriert seit: 11. Aug 2003 Ort: München 6.537 Beiträge |
#8
Re: PHP - GET variable
7. Feb 2010, 09:20
Zitat von Matze:
Code:
// unset deprecated globals
unset($HTTP_GET_VARS, $HTTP_POST_VARS, $HTTP_COOKIE_VARS, $HTTP_SERVER_VARS, $HTTP_POST_FILES, $HTTP_ENV_VARS, $HTTP_SESSION_VARS); Ich kann den Prepared-Statement-Vorschlag nur empfehlen, aber noch mehr empfehle ich aber nen Blick ueber den Tellerrand (naja, teilweise). Hier mal ein Beispiel mit Prepared Statements von php.net kopiert:
Code:
Hier ein Beispiel, das auf
$stmt = $mysqli->prepare("INSERT INTO CountryLanguage VALUES (?, ?, ?, ?)");
$stmt->bind_param('sssd', $code, $language, $official, $percent); $code = 'DEU'; $language = 'Bavarian'; $official = "F"; $percent = 11.2; /* execute prepared statement */ $stmt->execute(); Doctrine basiert:
Code:
Hier wird ohne grossen Aufwand ein Select-Query zusammengestellt. Im Unterschied zum obigen Code ist es mir als Entwickler hier auch vollkommen egal, was fuer ne Datenbank dahinterliegt. Das koennte mySQL sein, aber auch Oracle, MSSQL, ein ODBC-Treiber, usw.
public function getEmploymentHistory()
{ return Doctrine::getTable('EmployeesEmploymentVersion')->createQuery()-> where('id = ?', $this->id)-> orderBy('start_date DESC')-> execute(); } Und um weiter zu gehn, das obige Beispiel von php.net fuegt ein Objekt ein. Insofern ist das Doctrine-Beispiel vielleicht nicht so gut gewaehlt. Deshalb nochmal das Erstellen von Objekten in Doctrine:
Code:
Du sparst dir also viel Handarbeit mit nem ORM wie Doctrine oder Propel, da du nichtmal mehr die Queries selbst ausfuehren musst. Du kannst zwar noch selbst SQL schreiben, aber die oben notierte DQL-Syntax (Doctrine Query Language) ist so intuitiv und angenehm, dass du es nicht mehr willst
$countryLanguage = new CountryLanguage();
$countryLanguage->code = 'DEU'; $countryLanguage->language = 'Bavarian'; $countryLanguage->official = 'F'; $countryLanguage->percent = 11.2; $countryLanguage->save(); Ausserdem hat ein ORM immer Ahnung von den verwendeten Datentypen. Es wird also dafuer sorgen, dass du nen Boolean ins Objekt reinstopfst und ihn wieder rauskriegst, egal was die Datenbank dahinter davon haelt. Foreign Relations sind auch kein Problem - die sind (lazy-loaded natuerlich) im Objekt verfuegbar. Oh, referentielle Integritaet? Klar - ich zeig nochmal ganz kurz wie man ne Datenbanktabelle mit YAML fuer Doctrine definiert:
Code:
Hier definiere ich eine Mitarbeitertabelle. Der actAs-Block sagt Doctrine, dass es bestimmte Verhaltensmuster anwenden soll. TimeStampable sorgt dafuer, dass meine Datensaetze bei jedem Update einen aktuellen Zeitstempel kriegen, damit ich weiss wann der zuletzt bearbeitet wurde.
EmployeesEmployee:
actAs: TimeStampable: ~ Sluggable: name: employee_slug unique: true canUpdate: true fields: [nickname] columns: lastname: { type: string(255), notnull: true } firstname: { type: string(255), notnull: true } nickname: { type: string(255), notnull: true, unique: true } birthday: { type: date, notnull: true } Sluggable erstellt nen Unique-Identifier, der SEO-technisch besser ist als ne ID. In diesem Fall wird der nickname als zusaetzlicher Identifier verwendet, so dass man einfach sprechende URLs bauen kann. Ich empfehl euch echt nen Blick auf Doctrine, das kann einiges an Arbeit abnehmen. Im naechsten Teil gibts dann den Hinweis, warum es Sinn macht, nicht nur ein ORM sondern ein Framework zu verwenden Greetz alcaeus
Andreas B.
Die Mutter der Dummen ist immer schwanger. Ein Portal für Informatik-Studenten: www.infler.de
|
|
Zitat
|
ForumregelnEs ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus. Trackbacks are an
Pingbacks are an
Refbacks are aus
|
|
Linear-Darstellung
