x

nette · Jan 9, 2025 · 0439e69 · 0439e69
1 parent 143034f
commit 0439e69
Show file tree

Hide file tree

Showing 2 changed files with 8 additions and 4 deletions.
diff --git a/database/cs/security.texy b/database/cs/security.texy
@@ -152,9 +152,11 @@ $table = 'users';
 $column = 'name';
 $database->query('SELECT ?name FROM ?name', $column, $table);
 // Výsledek v MySQL: SELECT `name` FROM `users`
+```
+
+Důležité: symbol `?name` používejte pouze pro důvěryhodné hodnoty definované v kódu aplikace. Pro hodnoty od uživatele použijte opět [whitelist|#Whitelist sloupců]. Jinak se vystavujete bezpečnostním rizikům:
 
+```php
 // ❌ NEBEZPEČNÉ - nikdy nepoužívejte vstup od uživatele
 $database->query('SELECT ?name FROM users', $_GET['column']);
 ```
-
-Důležité: symbol `?name` používejte pouze pro důvěryhodné hodnoty definované v kódu aplikace. Pro hodnoty od uživatele použijte opět whitelist. Jinak se vystavujete bezpečnostním rizikům, jako například dříve uvedený SQL enumeration nebo Mass Assignment Vulnerability.
diff --git a/database/en/security.texy b/database/en/security.texy
@@ -152,9 +152,11 @@ $table = 'users';
 $column = 'name';
 $database->query('SELECT ?name FROM ?name', $column, $table);
 // Result in MySQL: SELECT `name` FROM `users`
+```
+
+Important: Use the `?name` symbol only for trusted values defined in the application code. For values provided by the user, use a whitelist again. Otherwise, you risk security vulnerabilities:
 
+```php
 // ❌ DANGEROUS - never use user input
 $database->query('SELECT ?name FROM users', $_GET['column']);
 ```
-
-Important: Use the `?name` symbol only for trusted values defined in the application code. For values provided by the user, use a whitelist again. Otherwise, you risk security vulnerabilities, such as the previously mentioned SQL enumeration or Mass Assignment Vulnerability.