URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID9
Нить номер: 7295
[ Назад ]

Исходное сообщение
"Как вставить переменную в SQL запрос на Perl?"
Отправлено microbash , 07-Апр-08 13:25

вот запрос к базе Mysql из скрипта Perl:
$sth1=$dbh->prepare( q{ UPDATE list SET statusdb="${statusdb}" } ) or die "Can't prepare";
$sth1->execute;
$sth1->finish();
по нему в базу вставляется '${statusdb}'
а мне бы нужно чтобы вставлялось текущее значение переменной ${statusdb}
например при ${statusdb}='OK', мне нужно в базе 'OK', а не '${statusdb}'
как бы это сделать?
хелп оч. нужно

Содержание

Как вставить переменную в SQL запрос на Perl?,tx2, 13:43 , 07-Апр-08
- Как вставить переменную в SQL запрос на Perl?,microbash, 09:31 , 08-Апр-08
  - Как вставить переменную в SQL запрос на Perl?,angra, 17:42 , 08-Апр-08
rtmf? уж на что я _ничего_ про перл не знаю...,Andrey Mitrofanov, 13:53 , 07-Апр-08
Как вставить переменную в SQL запрос на Perl?,microbash, 14:13 , 07-Апр-08
Как вставить переменную в SQL запрос на Perl?,Wulf, 14:41 , 07-Апр-08

Сообщения в этом обсуждении

"Как вставить переменную в SQL запрос на Perl?"
Отправлено tx2 , 07-Апр-08 13:43

q{ это строка не интерполируется }
qq{ а эта интерполируется }
ТЕ поставить второй вариант..
PS а кто будет эскейпить значения переменных???

"Как вставить переменную в SQL запрос на Perl?"
Отправлено microbash , 08-Апр-08 09:31

>q{ это строка не интерполируется }
>qq{ а эта интерполируется }
>
>ТЕ поставить второй вариант..
>
>PS а кто будет эскейпить значения переменных???
что есть "эскейпить переменные"? токо сразу не банте :)

"Как вставить переменную в SQL запрос на Perl?"
Отправлено angra , 08-Апр-08 17:42

Поищи в гугле на тему sql injection. Вот простой пример, берем твой запрос:
UPDATE list SET statusdb="${statusdb}"
Теперь предположим что $statusdb имеет такое содержимое:
";delete from veryimportanttable where "a"="a
Получаем:
UPDATE list SET statusdb="";delete from very_important_table where "a"="a"
Под "эскейпить переменные" понимается экранирование всех специальных(в данном контексте) символов, что приведет к подобному:
UPDATE list SET statusdb="\";delete from very_important_table where \"a\"=\"a"
Если используем DBI::MySQL, то там все просто - поддерживается prepare с биндом параметров и не нужно заморачиваться с экранированием.

"rtmf? уж на что я _ничего_ про перл не знаю..."
Отправлено Andrey Mitrofanov , 07-Апр-08 13:53

>как бы это сделать?
' --> " // q{ --> qq{
>хелп оч. нужно
$ man perlop
?
$ perldoc -q strings

"Как вставить переменную в SQL запрос на Perl?"
Отправлено microbash , 07-Апр-08 14:13

СПСБ всем за помощь
ЗАРАБОТАЛО! :)

"Как вставить переменную в SQL запрос на Perl?"
Отправлено Wulf , 07-Апр-08 14:41

>вот запрос к базе Mysql из скрипта Perl:
>
>$sth1=$dbh->prepare( q{ UPDATE list SET statusdb="${statusdb}" } ) or die "Can't prepare";
>$sth1->execute;
>$sth1->finish();
>
Идеологически правильно делать с placeholder-ами:
$sth1=$dbh->prepare( q{ UPDATE list SET statusdb=? } ) or die "Can't prepare";
$sth1->execute(${statusdb});
$sth1->finish();