OpenForum RSS: Как вставить переменную в SQL запрос на Perl? https://www.opennet.ru/openforum/vsluhforumID9/7295.html вот запрос к базе Mysql из скрипта Perl:<br><br>$sth1=$dbh-&gt;prepare( q{ UPDATE list SET statusdb="${statusdb}" } ) or die "Can't prepare";<br>$sth1-&gt;execute;<br>$sth1-&gt;finish();<br><br>по нему в базу вставляется '${statusdb}'<br>а мне бы нужно чтобы вставлялось текущее значение переменной ${statusdb}<br>например при ${statusdb}='OK', мне нужно в базе 'OK', а не '${statusdb}'<br><br>как бы это сделать?<br>хелп оч. нужно<br> Как вставить переменную в SQL запрос на Perl? (angra) https://www.opennet.ru/openforum/vsluhforumID9/7295.html#6 Tue, 08 Apr 2008 13:42:40 GMT Поищи в гугле на тему sql injection. Вот простой пример, берем твой запрос:<br>UPDATE list SET statusdb="${statusdb}" <br>Теперь предположим что $statusdb имеет такое содержимое:<br>";delete from veryimportanttable where "a"="a<br>Получаем:<br>UPDATE list SET statusdb="";delete from very_important_table where "a"="a"<br>Под "эскейпить переменные" понимается экранирование всех специальных(в данном контексте) символов, что приведет к подобному:<br>UPDATE list SET statusdb="\";delete from very_important_table where \"a\"=\"a"<br>Если используем DBI::MySQL, то там все просто - поддерживается prepare с биндом параметров и не нужно заморачиваться с экранированием.<br> Как вставить переменную в SQL запрос на Perl? (microbash) https://www.opennet.ru/openforum/vsluhforumID9/7295.html#5 Tue, 08 Apr 2008 05:31:51 GMT &gt;q{ это строка не интерполируется } <br>&gt;qq{ а эта интерполируется } <br>&gt;<br>&gt;ТЕ поставить второй вариант.. <br>&gt;<br>&gt;PS а кто будет эскейпить значения переменных??? <br><br>что есть "эскейпить переменные"? токо сразу не банте :) <br> Как вставить переменную в SQL запрос на Perl? (Wulf) https://www.opennet.ru/openforum/vsluhforumID9/7295.html#4 Mon, 07 Apr 2008 10:41:36 GMT &gt;вот запрос к базе Mysql из скрипта Perl: <br>&gt;<br>&gt;$sth1=$dbh-&gt;prepare( q{ UPDATE list SET statusdb="${statusdb}" } ) or die "Can't prepare";<br>&gt;$sth1-&gt;execute;<br>&gt;$sth1-&gt;finish();<br>&gt;<br><br>Идеологически правильно делать с placeholder-ами:<br><br>$sth1=$dbh-&gt;prepare( q{ UPDATE list SET statusdb=? } ) or die "Can't prepare";<br>$sth1-&gt;execute(${statusdb});<br>$sth1-&gt;finish();<br> Как вставить переменную в SQL запрос на Perl? (microbash) https://www.opennet.ru/openforum/vsluhforumID9/7295.html#3 Mon, 07 Apr 2008 10:13:35 GMT СПСБ всем за помощь<br>ЗАРАБОТАЛО! :)<br><br><br> rtmf? уж на что я _ничего_ про перл не знаю... (Andrey Mitrofanov) https://www.opennet.ru/openforum/vsluhforumID9/7295.html#2 Mon, 07 Apr 2008 09:53:42 GMT &gt;как бы это сделать? <br><br>' --&gt; " // q{ --&gt; qq{<br><br>&gt;хелп оч. нужно <br><br>$ man perlop<br><br>?<br>$ perldoc -q strings<br> Как вставить переменную в SQL запрос на Perl? (tx2) https://www.opennet.ru/openforum/vsluhforumID9/7295.html#1 Mon, 07 Apr 2008 09:43:22 GMT q{ это строка не интерполируется }<br>qq{ а эта интерполируется }<br><br>ТЕ поставить второй вариант..<br><br>PS а кто будет эскейпить значения переменных???<br>