Защита от SQL инъекции

[Vorobyov1996]

Здравствуйте! Расскажите как Вы защищаете себя от злоумышленников, при запросе в базу данных, использую GET, POST, COOKIE

И почему именно так вы защищаетесь?

 

[Kotofey]

1. Экранирование всех данных подставляемых в sql запрос.
2. Так надо.

 

[Vorobyov1996]

1. Экранирование всех данных подставляемых в sql запрос.
2. Так надо.

Принято!)) А как именно Вы экранируете? Просто много противоречивой информации((

 

[Kotofey]

Принято!)) А как именно Вы экранируете? Просто много противоречивой информации((

По разному, где использую нативные методы real_escape_string(mysqli) где подготовленные запросы, а где использую инструменты фреймворка.
Всё от ситуации зависит.
PS Vladson, даже если тебе и кажется, что он работает правильно, не стоит быть таким самоуверенным.

 

[Vorobyov1996]

1. Никак не защищаюсь. Пишу код, и он работает правильно и не допускает инъекций.
2. Не признаю слово "защита" в этом ключе. Отсутствие ошибок в представлении данных, это не защита, это просто отсутствие ошибок, ни более, ни менее.

filter_input() - норм защита?

 

[Vorobyov1996]

По разному, где использую нативные методы real_escape_string(mysqli) где подготовленные запросы, а где использую инструменты фреймворка.
Всё от ситуации зависит.
PS Vladson, даже если тебе и кажется, что он работает правильно, не стоит быть таким самоуверенным.

Спасибо! А filter_input() - норм защита?

 

[Kotofey]

Спасибо! А filter_input() - норм защита?

Нет, к примеру фильтр FILTER_SANITIZE_EMAIL тебе не поможет.

 

[Vorobyov1996]

Нет, к примеру фильтр FILTER_SANITIZE_EMAIL тебе не поможет.

Хорошо, Спасибо!

 

[Kotofey]

Хорошо, Спасибо!

Поищи готовые обертки для работы с базой и увидишь, что защитить себя от дыр sql не сложно, главное помнить об этом.

 

[Vorobyov1996]

Поищи готовые обертки для работы с базой

Буквально в 2-ух словах расскажи подробнее)

 

[Kotofey]

Буквально в 2-ух словах расскажи подробнее)

http://www.doctrine-project.org/ - из сторонних разработок мне понравилась эта.
По большей части смысл оберток это безболезненный переход на другую платформу.
К примеру для соединения с базой ты используешь драйвер MySQLi и пихаешь везде метод к примеру fetch_object()-чтобы получить строку из базы, теперь представь, что необходимо сменить базу к примеру на PostgreSQL, тебе надо везде переписать работу с драйвером, используя обертку тебе достаточно внести изменения в ней будет.

 

[Vorobyov1996]

http://www.doctrine-project.org/ - из сторонних разработок мне понравилась эта.
По большей части смысл оберток это безболезненный переход на другую платформу.
К примеру для соединения с базой ты используешь драйвер MySQLi и пихаешь везде метод к примеру fetch_object()-чтобы получить строку из базы, теперь представь, что необходимо сменить базу к примеру на PostgreSQL, тебе надо везде переписать работу с драйвером, используя обертку тебе достаточно внести изменения в ней будет.

А готовый обертки спасают от SQL иньекции?

 

[Kotofey]

А готовый обертки спасают от SQL иньекции?

Если будешь использовать функции прямого запроса к базе тогда нет) если будешь биндить то зависит от самой обертки

 

[Vorobyov1996]

Если будешь использовать функции прямого запроса к базе тогда нет) если будешь биндить то зависит от самой обертки

Ок, буду учиться работать с обертками)

 

[HORO]

я бы посмотрел в сторону dbsimple и аналогов )

 

[Vorobyov1996]

я бы посмотрел в сторону dbsimple и аналогов )

Спасибо!

 

[Andkorol]

http://phpfaq.ru/safemysql

 

[Фанат]

1. Экранирование всех данных подставляемых в sql запрос.

А можно конкретнее? Что имеется в виду под "экранированием"?

 

[FSA]

Подготовленные выражения в PDO плюс прямая валидация через регулярные выражения где это возможно.
Почему так? Потому что так можно

 

[Фанат]

Подготовленные выражения в PDO плюс прямая валидация через регулярные выражения где это возможно.
Почему так? Потому что так можно

А зачем прямая валидация?
Без нее код будет небезопасным?