-
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады
Защита от SQL инъекции
- Автор темы Vorobyov1996
- Дата начала
в библиотеке, которая заброшена уже шестой год? нуну...
HORO
Новичок
не нуну, а вот вот ) Удобно и практично. Я в своей обертке расширил этот синтаксис, получился вообще sql шаблонизатор ) Но самое удобное, что он не мешает работе phpstorm database autocomplete что очень нужно когда в проекте 100500 таблиц с кучей полей
И главное написать такую обертку нет ничего сложного, со всякими удобными плейсхолдерами для массивов, для правильного экранирования в LIKE и пр
И главное написать такую обертку нет ничего сложного, со всякими удобными плейсхолдерами для массивов, для правильного экранирования в LIKE и пр
Vladson
Сильнобухер
1- Я как-то на рнр.ру форуме выкладывал, просто тупо использовал sprintf с функциями ескейпа для чаров проверки на цифры с дигитом это защитой считается ?
2- Не знаю за что вы меня так все не любите, но повторюсь, это нихера не защита, это просто код который делает то что должен и главное не делает то что не должен.... Почему вы все называете это защитой объясните мне плиз, мне реально в CV написать что я занимаюсь защитой от инъекций только потому что я стараюсь писать код без явных багов ???
2- Не знаю за что вы меня так все не любите, но повторюсь, это нихера не защита, это просто код который делает то что должен и главное не делает то что не должен.... Почему вы все называете это защитой объясните мне плиз, мне реально в CV написать что я занимаюсь защитой от инъекций только потому что я стараюсь писать код без явных багов ???
Vladson
Сильнобухер
Нет. Я на хабре как-то об этом заикался, результат тот же, все придирались к слову "защита" и посылали меня нафик.... На форуме я как и тут просто в топиках обозначал свою позицию, и вместо аргументов против получал лишь посылы нах[фиг]
Vladson
Сильнобухер
???????
А нахера я пишу тогда код, если я незнаю для чего я его пишу ???
Vladson
Сильнобухер
Так о чём и дело что про то что фильтрация/валидация/фильтрация и прочая мастурбация, это всё никак не называется "защитой от взлома" это просто о том что код надо писать такой который не имеет дыр...
Давай я один раз докажу, что ты круглый дурак, не понимающий ни одного слова из того что сам же говоришь.
И ты больше не будешь приставать к нам с глупыми претензиями.
Что сделает с этим массивом твоя функция?
Пункт второй, защита.
"заключить все в кавычки" мы тут не можем.
Пункт третий,
Сейчас ты у нас эталонный дурак, сферический. А если хоть что-то узнаешь про то, как работают базы данных, то будешь уже не таким совершенным.
Пункт четвертый,самое сладкое.
И ты больше не будешь приставать к нам с глупыми претензиями.
Пункт первый, "ничего не ломается".
HTML:
<form method="POST">
<input type="text" name="address[]" >
<input type="text" name="address[]" >
<input type="text" name="address[]" >
</form>Пункт второй, защита.
PHP:
$_POST['limit'] = 10;DROP TABLE users;
$data = array_map(array($mysqli,"real_escape_string"),$_POST);
$sql = "SELECT * FROM table LIMIT ".$limit;Пункт третий,
Про это ничего не буду писать, чтобы тебя не портить.
Сейчас ты у нас эталонный дурак, сферический. А если хоть что-то узнаешь про то, как работают базы данных, то будешь уже не таким совершенным.
Пункт четвертый,самое сладкое.
Ну вот ознакомь нас, родной, как исполнить этот запрос с использованием dbsimple, и где там будет твой array_map.
HORO
Новичок
ты забыл самый главный пункт, который лишает смысла все остальные пункты.
А про СУБД и данные поподробнее попрошу )
и вот о чем эта фраза?
что означает "в КОНКРЕТНОЙ форме сформулировать правила защиты" ?
а ну да, остался пункт четвертый - п/х ?n
хм...может быть защита это действия которые необходимо проделать чтобы код работал без дыр?
Последнее редактирование:
Vladson
Сильнобухер
Анекдот в тему "админ, у нас дыра в безопасности..." админ отвечает "ну хоть что-то у нас в безопасности..."
Моя политика в том что "дыра = баг", нет багов нет дыр, есть баги есть дыры...И вот когда я слышу слово "защита" я читаю "защита от багов" а они будут всегда, от ошибок никто не застрахован, для этого тестирование и было придумано. А вот статьи типа "мы поможем защитить ваш код" вводят в заблуждение, они создают иллюзию что прочитав одну лишь статью вы станете писать идеальный код без багов который невозможно взломать... Это неправда, даже сервера пентагона взламываются с завидной регулярностью...
в кино?
Vladson
Сильнобухер
Не смотрю кино (с где-то 2000-го) а телевизора и вовсе не имею (где-то с 1998-го) а вот интернет почитываю. Даже ребята из Microsoft (или вы тоже считаете что там одни ламеры код пишут ?) на официальном сайте и в официальных прессрелизах неоднократно писали что их ломали и что виной тому была их собственная безалаберность... Про взломы пентагона ссылки не дам, их новости в закладки не кидаю.