Empêcher les injections SQL

samedi 9 août 2014

Salut forumers,

Est-ce qu'en utilisant un PREPARE appelé à partir d'une PROCÉDURE STOCKÉE de la façon suivante, ma DB ne risque rien?


PREPARE:




PREPARE fooplan (int, text, bool, numeric) AS
INSERT INTO foo VALUES($1, $2, $3, $4);


PROCÉDURE STOCKÉE:




CREATE FUNCTION machtiteps(INTEGER, TEXT, BOOL, NUMERIC, INTEGER, VARCHAR(48)) AS $$

EXECUTE fooplan($1, $2, $3, $4);


Ou bien, suis-je _obligé_ d'utiliser les différents "quote_…()" sur $1, $2, $3 & $4 avant appel du PREPARE?





0 commentaires:

Enregistrer un commentaire

 

Lorem

Ipsum

Dolor