Новая тема   Ответить

 goodlover
Суть: юзер на сайте вводит информацию, она потом в php ловится в строковую переменную, и далее создаётся запрос к базе mysql, добавляется то что юзер ввёл (мыло, возраст). Потом этот запрос выполняется.
Чтобы любопытный человек не мог ввести что-то своё, чтобы дополнительные его запросы к базе не начали выполняться, как тут предохраняться?

Код:

$perem1 и $perem2 принимаются через POST из формы.
Как-то нужно проверять что пришло в переменных $perem1 и $perem2, чтобы было безопасное добавление в базу?

 _s_[sov]
ну проверь коли так хочешь
а так вапще принимай через пост все и фильтруй.

 goodlover
Если бы я чётко знал как и от чего фильтровать, то этого топика бы не было.

 loksa
я не спец, но отсекаются спец символы обычно.
у меня в одном скрипте это делает строка
$QUERY_STRING = preg_replace("/[^\\w_-]/","",$QUERY_STRING);
либо просто пропускать только набор символов которые используются, типа буквы, цифры, точка запятая и т.д., и @ - для мыла.
любому прогеру дело на 5 минут.

 freeek
http://www.w3schools.com/php/func_mysql_real_escape_string.asp

посмотри, как это делают известные фреймворки

 leroy_17
обычно фильтруют
' /* --  и ( ) 
А вообще лучше четко прописать что мжет вводить юзер , если это поиск
то это буквы цифры пробел тире и подчеркивание. Больше им не надо в поиске

 Dr.Syshalt
Вообще самый правильный и железный способ - это использовать параметризованные запросы. Если это mysql + php - то mysqli-интерфейс, там есть mysqli_stmt::prepare и прочие спизженные из нормальных языков типа Java+JDBC вещи.

 goodlover
leroy_17 писал:
Логично, а как это сделать? (если на стороне сервера)
То есть не перечислять что запрещено в preg_replace а наоборот, чтобы буквы, цифры, пробел, подчёркивание и тире пропускались.

Хотя суть одна, всё и так работает.
Всем спасибо!

 arma
Можно заюзать php библиотеку filter.so

http://devzone.zend.com/article/1113
http://nl.php.net/manual/en/filter.filters.sanitize.php
http://nl.php.net/manual/en/ref.filter.php

Примеры:
http://nl.php.net/manual/en/filter.examples.validation.php
http://nl.php.net/manual/en/filter.examples.sanitization.php


Для себя юзаю потыренные из wordpress'a ф-ции, фильтрация работает например так:
Код:

 zuborg
Dr.Syshalt писал:
Верно, а если ещё и кешировать результат prepare() то можно секономить cpu базы который тратится на парсинг запроса и построение плана выполнения.

 goodlover
Ух, много букв.. буду изучать.

А что думаете об этом?
Код:
Пишут, что ставится после коннекта к базе, и должно нормально отрабатывать инсерт и др. запросы, используя принятую инфу.

 goodlover
arma: у wp красивые строчки.. хороший ход.

 Dr.Syshalt
goodlover писал:

Жить будет - способ дедовский, но работает.

 Noobus Boobus
+1 к mysql_real_escape_string, и незачем огород городить.

 leroy_17


проблема в том что эта функа не все убирает, например если извернуться то можно закоментировать код и дописать другой запрос. Раньше в mysql проходили запросы типа chr(39) или написанные 16-ти ричным кодом символы . Т.е. кавычку можно написать не только как " ' ". На 5-ке mysql не пробовал так что точно не скажу на 4-ке работал такой метод взлома.

 msth
либо

Код:

важный момент тут это обрамление кавычками ('), так как если этого не сделать, то возможно, что поломают даже с mysql_real_escape_string.

или фильтровать переменные, проверять номер это или строка из определенных символов и тд.

 Heavy
Noobus Boobus писал:
+1, если пофиг на валидность данных и задача только не дать базу коцнуть.
как вариант еще использовать mysqli + "плейсхолдеры" (но это на любителя, имхо могли бы упрощенную версию для популяризации сделать)

 goodlover
Значит останавливаюсь на mysql_real_escape_string и кавычках.
Всегда их ставлю почему-то, и похоже что не зря.
Всех заплюсовал.