Исходное сообщение
"Критическая уязвимость в системе управления web-контентом Dr..." Отправлено Аноним, 16-Окт-14 15:01
> Ну алгоритм-то зачастую один и тот же - взять список чисел/строк и > впихнуть в IN выражение. > Не дело СУБД - ok, но почему в тех же PDO, JDBC > и т.п. API не добавить соответствующий метод? В DQL (doctrine) и > HQL (hybernate) к примеру такая возможность есть (я понимаю, что это > несколько более высокоуровневые штуки, но не вижу причину чтобы не реализовать > это уровнем ниже - ну ведь нужная же вещь). вы же сами ответили - разный уровень. Если вы пришете в запросе in ( :param ), то :param - это то что выдерается при подготовке запроса ( построении плана и т.д. ), по уму в том же drupal должно бы быть 2 варианта in ( :param ) и in ( #суперидентификатонедопустимыйдляsqlзапроса#paramscollection ) тут же в унификации можно зайти очень далеко, в некоторых системах применяют что то вроде "Select &fields from &table &whereparam", но в этом случае все понимают что нельзя просто так что угодно в параметры передавать, такой usecase вы тоже предлагаете в jdbc/pdo встроить?