Modstore
Modhost
Docs
MODX.Pro

Как правильно пользоваться bindParam?

Здравствуйте. Какое то время назад я уже спрашивал как правильно экранировать данные, т.к я был уверен что modx->prepare меня уже защищает. А в паре с addslashes дак вообще, ни одна инъекция не пройдет. И вот сейчас снова я вернулся к этому вопросу более плотно.
Раньше я делал так:

$data = addslashes($_POST['data']);
$q = $modx->prepare("INSERT INTO `table` (`name`,`data`) VALUES (null, '$data'));

Но как мне подсказали я ничего не фильтровал от инъекций возможных.
Мне посоветовали если я вручную собираю PDO запросы использовать bindParam, но информации я не так много нашел…

$q = $modx->prepare("INSERT INTO `table` (`id`, `data`) VALUES (null, ':data')");
$q->bindParam(':data', $data, PDO::PARAM_LOB);
$q->execute();

Внутри $data может быть все, хтмл, цсс, тексты, кавычки.

Не срабатывает. Я где то ошибся? Весь вечер пытаюсь нагуглить, не получается…
Спасибо!

Николай

16 февраля 2017, 18:14

1 487

0

Комментарии: 6

Наумов Алексей

16 февраля 2017, 21:23

+2

modx.pro/help/5271/ дык год назад про это разговор был :) и ссылку дали, не?

Николай

16 февраля 2017, 21:57

0

Да, Василий оставил на INSERT, но как быть с UPDATE?

$data = array($data,$id);
        $modx->prepare("UPDATE `table` SET `data`=? WHERE `id` = ? LIMIT 1")->execute($data);

не срабатывает, именно по этому начал смотреть в сторону bindParam

Илья Уткин

17 февраля 2017, 08:35

1

+1

Запросы INSERT и UPDATE на PDO (but1head где-то поделился, я к себе утащил)

Николай

17 февраля 2017, 13:38

0

Спасибо! Это кажется именно то что мне нужно. Остался вопрос, в этом случае я вообще не думаю про обработку данных? или addslashes использовать все же? На боевой среде не запустилось никак, пошел создал test.php — сработало все.

Илья Уткин

17 февраля 2017, 13:47

0

Ммм… вот про addslashes не знаю… Может, придут более подкованные специалисты и подскажут)) ¯\_(ツ)_/¯

Николай

17 февраля 2017, 17:06

0

Я кстати правильно понимаю что в текущей функции обновления может быть только 1 where параметр, и без лимитов и оффсетов?

Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.

Здесь упомянуты:

Компонент	Текущая версия	Закачки
pdoTools	2.13.2-pl от 02.09.2021	54 170

Ruslan

3 часа назад

А кто подскажет, как в форму Создания/Редактирования ресурса, через ms2Form, добавить возможность выбирать несоклько параметров в одном TV? Ну то-ест...

Создание ресурсов из фронтенда сайта, зарегистрированными пользователями. 4

vit

3 часа назад

если правильно понял то так {set $rows = json_decode($_modx->resource.constructor_block, true)} {foreach $r...

getImageList. Вывести вложенный migx на fenom 1

Роман

3 часа назад

Подскажите, если на странице будет две формы, они будут работать? К примеру reCaptchaV3 этого сделать не может, нужно через костыль в виде скрипта, ко...

YaSmartCaptcha - защитите ваши формы от спама умной капчей от Яндекс 5

Ivan

Сегодня в 01:42

У вас есть баг при изменении кол-ва позиции в корзине

Помогите найти ошибку в шаблоне, теги 11

Андрей Чаплыгин

20 ноября 2024, 16:25

В сниппете rcv3_html достаточно отложить загрузку через setTimeout (хотя кто-то делает через onClick). Не думаю что мой вариант самый правильный и что...

reCaptcha v3 - отложенная загрузка 1

Виталий

19 ноября 2024, 10:51

Решил свою проблему через имя пользователя, но хотелось бы через права пользователя «Неограниченные права» <?php /** * Системное событие OnMan...

Редактирование контекста в мультидоменном сайте 1

Ruslan

19 ноября 2024, 09:09

Спасибо, тоже очень интерестное решение.

Помогите советом, по реализации платных одноразовых услуг на сайте. 4

Олег

18 ноября 2024, 15:21

'where' => [ 'Data.price:!='=>'0' ]

Убрать товары с ценой "0". Minishop2. 2

Ivan

18 ноября 2024, 14:19

miniShop2.Order.add('extfld_delivery_price','100', function() { miniShop2.Order.getcost(); }) Это вот работает, но чтобы увид...

Не обновляются поля заказа ajax msOrder 3

Роман

18 ноября 2024, 10:11

Благодарю за ответы.

Обновил Minishop2 с 2.5.0-pl до 4.4.0-pl., заказы не приходят на почту 3