Возникли проблемы с "не слишком хорошим кодом".

[volodjavolodja]

Добрый день,

Возникли проблемы с "не слишком хорошим кодом".
Ситуация затруднительна.
Есть много запросов такого вида:

PHP код:

$sql ​​= " Select * from table where` id `= ' . $id . ' "; 


Возможно кто-то имеет большую практику в перестройке таких "не хороших кодов".
Файлов с таким видом очень много еще более запутанно.
Нужно переписать все в

Цитата:

PDO

.
Запросы даже не икрануються минимально - хотя это не поможет от инъекций.
Но как автоматизировать?
Руками очень будет долго и трудно.

С уважением,

Володя

[ADSoft]

именно руками

[volodjavolodja]

Это будет очень трудно.

[ADSoft]

Ну одинаковые куски можно заменить с промощью текстовых редакторов, но все равно будут куски немного отличающиеся , а это ручками

[Stilet]

Цитата:

таких "не хороших кодов".

Я не понял а что именно тут нехорошо сделано?

[Kostia]

Код:

Select * from table where` id `= ' . $id . '

если нет $id = (int) $request->id; или хотябы экранирования, то можно передать $id = 0' or '1 и select выдаст всю таблицу.

Код:

SELECT * FROM table WHERE id = '0' or '1'

И так с любым запросом для любого параметра и при определенной доли везения можно выудить таблицу с пользователями/сессиями. Этим обычно школьники балуются.
$id = -1' UNION SELECT * FROM users WHERE '1;

Код:

SELECT * FROM table WHERE id = '-1' UNION SELECT * FROM users WHERE '1'

[volodjavolodja]

Я понял

авпвап












папвапв