https://opennet.ru/openforum/vsluhforumID8/6149.html содержит $cookies{session} такой шаблон случайных символов:<br> my @r = ( 0 .. 9, 'A' .. 'Z', 'a' .. 'z' );<br><br>будет ли инъекци в таком запросе?<br><br> $cookies{session} =~ s/\W+//g;<br> $cookies{session} =~ s/[&lt;&gt;\&#124;\-&\.\\\/\0]//g;<br> $session = $dbh-&gt;selectrow_hashref(qq{SELECT t1.u,<br> ................<br> WHERE t1.session = ?<br> <br> LIMIT 1<br> }, undef, $cookies{session}); <br><br>этот запрос нужно выполнять всегда, очень часто, я попробовал ускорить его поставив selectrow_hashref() вместо fetchrow_hashref()<br><br>(Storable не понравился, так как дополниельный геморой настойки прав доступа и etc для того кто будет устанавливать программу)<br> https://opennet.ru/openforum/vsluhforumID8/6149.html#10 Tue, 14 Apr 2009 08:48:52 GMT Не стоит полагаться, что do реализован обязательно таким образом. Хотя на данный момент в DBI.pm это так, но не обязательно будет так в будущем, а самое главное DBD:: модули вполне могут этот метод перекрывать. К сожалению для DBD::mysql на данный момент именно такая(prepare+execute) реализация, хотя мускулевое API позволяет более скоростной вариант. <br> https://opennet.ru/openforum/vsluhforumID8/6149.html#9 Mon, 13 Apr 2009 17:10:25 GMT извените, я не много прогнал<br><br>в методе do, есть метод prepare и экранирование есть, тоже... <br>по этому нету смысла сравнивать эти два метода do и prepare...<br><br> sub do {<br> my($dbh, $statement, $attr, @bind_values) = @_;<br> my $sth = $dbh-&gt;prepare($statement, $attr) or return undef;<br> $sth-&gt;execute(@bind_values) or return undef;<br> my $rows = $sth-&gt;rows;<br> ($rows == 0) ? "0E0" : $rows; # always return true if no error<br> }<br><br><br><br><br> https://opennet.ru/openforum/vsluhforumID8/6149.html#8 Mon, 13 Apr 2009 03:15:44 GMT &gt;angra, спасибо за комментарий, но я не про это спрашивал <br>&gt;<br>&gt;я хотел доделать свой класс, спрашивал быстрее ли do чем выборка через <br>&gt;prepare? <br><br>Зависит от запросов. Вы бы лучше разобрались для чего нужен каждый из них. <br>&gt;или зачем сделали select*_hashref()? <br><br>А зачем сделали все остальное? В ряде ситуаций весьма полезная штука. Perl вообще отличается принципом "есть более чем один способ сделать это"<br><br>&gt;я так понял, что нету разницы, но перл когда экранирует от инъкций <br>&gt;он выделяет память чтобы провести защиту от инъекций, было написано что <br>&gt;это может быть очень медленно, в СУБД mysql версии больше <br>&gt;5.0, есть возможность экранировать на стороне сервера СУБД (у нее самой, <br>&gt;в самом сервере) ... <br><br>DBI это уровень абстракции и зачастую позволяет сделать то, что нет в движке БД. Однако prepare был в мускульном API с четвертой версии как минимум. Другое дело, что языки типа пыха в то время не владели всем мускулевым API. Задачи prepare не столько защита от инъекций сколько скорость и удобство, за https://opennet.ru/openforum/vsluhforumID8/6149.html#7 Sun, 12 Apr 2009 17:50:09 GMT angra, спасибо за комментарий, но я не про это спрашивал<br><br>я хотел доделать свой класс, спрашивал быстрее ли do чем выборка через prepare? <br>или зачем сделали select*_hashref()?<br><br>я так понял, что нету разницы, но перл когда экранирует от инъкций он выделяет память чтобы провести защиту от инъекций, было написано что это может быть очень медленно, в СУБД mysql версии больше 5.0, есть возможность экранировать на стороне сервера СУБД (у нее самой, в самом сервере) ...<br><br>провести тестирование я не могу, не знаю как правильно....<br> https://opennet.ru/openforum/vsluhforumID8/6149.html#6 Sun, 12 Apr 2009 03:41:47 GMT Да где же тут матерные обороты?. Цикл while в постфиксной форме и стандартная команда push для забрасывания в массив значения. @{$loop_data} - разыменование ссылки на массив, если выражаться сишными терминами, причем фигурные скобки можно в данном случае опустить. <br>Автору топика. Если тебе нужны _все_ данные из запроса, то используй fetchall, если нужна построчная обработка, то просто fetch. Аналогично отдельный prepare, если нужно многократно выполнить один и тот же запрос с разными параметрами, в противном случае функции типа все_в_одном. Даже странно, что такие очевидные вещи нужно объяснять. Также непонятно как DBI можно осваивать дольше чем пару дней, он же простой как дверь. Другое дело DBIx, при всей красоте и "интуитивности" он таит массу подводных камней. <br> https://opennet.ru/openforum/vsluhforumID8/6149.html#5 Sat, 11 Apr 2009 19:14:16 GMT &gt; my $loop_data; <br>&gt; push @{$loop_data}, $_ while $_ = $sth-&gt;fetchrow_hashref();<br><br>клево конечно что перл позволяет такие матерные обороты ))<br>но чето я их затрудняюсь на русский )) толи уже поздна и пора спать ))<br><br><br> https://opennet.ru/openforum/vsluhforumID8/6149.html#4 Fri, 10 Apr 2009 16:27:54 GMT я написал программу, сейчас оптимизирую, пересматриваю класс работы с DBI<br><br>опять хочу спросить быстрее ли методв do чем prepare?<br><br>предыдущая прогармма у меня ест не много, точнее более менее прилично, ресурсы СУБД... особенно когда боты прийдут под вечер, Яша и др.<br><br>передаються много int значнеией числовых в программе... кто-то тестировал быстрее ли selectall_hashref и selectall_arreyref чем от prepare???<br><br>или зачем сделали эти методы selectall_hashref и selectall_arreyref в DBI?<br><br><br>если do быстрее, то как написать для HTML::Template массив х&#1108;шей?<br> my $loop_data;<br> push @{$loop_data}, $_ while $_ = $sth-&gt;fetchrow_hashref();<br><br><br>так не работает:<br> push @{$loop_data}, $_ while $_ = $dbh-&gt;selectrow_hashref ( $sql2 );<br><br><br>тут только arrayref подходит и названия столбцов через цыклы пропустить? но это не удобно... но можно...<br><br><br> https://opennet.ru/openforum/vsluhforumID8/6149.html#3 Fri, 09 Jan 2009 12:00:56 GMT Еще раз, при использовании fetchrow_hashref не только делается преобразование в хеш, но еще и посылается дополнительный запрос серверу на получение имен полей. По логике вашей программы имена и так известны, так зачем лишние обращения. Более того самостоятельное превращение в хеш вам дает независимость названий ключей хеша и полей в запросе. <br>Использовать fetchrow_hashref удобно если по логике программы мы на момент обработки не знаем имена полей, например при "select * from ..." или передачи хендлера запроса в функцию. <br>В конце концов, что вам вам мешает проверить скорость обоих вариантов, может обращение к базе вообще не является узким местом в вашем коде и нет смысла его оптимизировать. <br> https://opennet.ru/openforum/vsluhforumID8/6149.html#2 Thu, 08 Jan 2009 11:59:25 GMT &gt;При использовании(даже неявном) бинда параметров инъекции в любом случае не будет. Логика <br>&gt;работы регекса неясна, если есть используемый класс символов, то поставь его <br>&gt;отрицание и всех делов. В данном случае s/[^\dA-Za-z]//g. Еще с tr(он <br>&gt;же ~y//) можно попробовать, по идее он быстрее, но, учитывая последующий <br>&gt;запрос в базу, роли это играть не будет. Ну и до <br><br>понятно, спасибо<br><br>&gt;кучи arrayref все-таки побыстрее hashref, так как не нужно отдельно запрашивать <br>&gt;у сервера fieldlist. <br><br>да, быстрее arrayref, но мне надо будет заносить в шаблон HTML::Template массив хэшей, в данном случае все равно надо будет делать хэши<br><br>то есть я незнаю будет ли быстрее если я с базы возьму срузу hashref или если я в цыкле с arrayref сделаю массив хэшей<br><br>push @{$rows}, $_ while $_ = $sth-&gt;fetchrow_hashref();<br>$template-&gt;param(ROWS =&gt; $rows);<br>