Ниже перечислены стадии обработки запросов по команде SELECT. Вызов метода setQuery () для передачи запроса объекту базы данных. Этот метод служит также для дополнительного ограничения количества строк, возвращаемых из таблицы по запросу.
|
Ниже перечислены стадии обработки запросов по команде SELECT. Вызов метода Защита от злоумышленников в CMS JoomlaПользуясь классом JDatabaseQuery для составления запросов, не следует забывать и о защите от внесения злоумышленниками злонамеренного кода. Так, если значение, применяемое в операторе WHERE или ORDER BY, происходит из ненадежного источника, например, HTML-формы или URL (злоумышленники могут воспользоваться и тем и другим для внесения злонамеренного кода), это значение следует подвергнуть дополнительной обработке, прежде чем использовать его в запросе. И если значение в операторе WHERE должно быть целым, его следует непременно привести к целому с помощью оператора (int). В приведенном ниже примере заранее известно, что значение переменной $catid должно быть целым, и для этого принимаются специальные меры. |