In the darkest hour on Wed, 26 Oct 2011 23:17:55 +0200,
Michoo <m...@v...pl> screamed:
>> ATSD ciekawe czy ktos jest na tyle lekkomyslny by zostawic wiecej niz
>> insert/update dla nie-sa.
> Update też jest niebezpieczny jeżeli w ogóle dopuszczasz możliwość, że
> małpa na stanowisku programisty może popełnić kod podatny na SQL-injection.
>
> $var=' or true;--
> update ... where column1='$var' and column2...;
>

Toteż w dobrze zaprojektowanych językach robi się to via:

db.execute('UPDATE ... WHERE column1 = :1 AND column2 = :2',
('cokolwiek', 'cokolwiek'))

--
[ Artur M. Piwko : Pipen : AMP29-RIPE : RLU:100918 : From == Trap! : SIG:228B ]
[ 13:59:08 user up 12974 days, 1:54, 1 user, load average: 0.75, 0.89, 0.90 ]

Hi! I'm a shareware signature! Send $5 if you use me!