Mysql Защита от SQL-инъекций в PHP и MySQL

[флоппик]

Когда кажется, крестится надо. В программировании нет места догадкам: не уверен - пойди и узнай точно.

 

[D_Pavel]

Вот так и появляется флуд в ветках

 

[Redjik]

http://phpclub.ru/talk/threads/Защита-от-sql-инъекций-в-php-и-mysql.73070/page-4#post-674419

 

[D_Pavel]

Что ли никто не знает ответ на мой вопрос? Или в ветку по MySQL только флудить ходят?

 

[Hello]

D_Pavel, вы гуглить умеете или только на форумах глупые вопросы задаете?
http://shiflett.org/blog/2006/jan/addslashes-versus-mysql-real-escape-string

 

[D_Pavel]

Гуглить я умею, только там написана бесполезная хрень про GBK.
Пока я вижу только чужие глупые вопросы и ответы, и ничего по делу. Видимо, пока эта ветка существует, никому она пользы не принесла.

 

[Вурдалак]

D_Pavel, всем настолько лениво отвечать на абсолютно некомпетентный вопрос, что проще просто показать средний палец. Объяснять что-то таким как ты — это не уважать себя.

 

[hell0w0rd]

А что вы хотите? Обычно говорят, не понимаешь - читай доки. А посмотрите что в доках написано:

Возвращает строку, в которой перед каждым спецсимволом добавлен обратный слэш, например, для последующего использования этой строки в запросе к базе данных и т.п. Экранируются одиночная кавычка ('), двойная кавычка ("), обратный слэш (\) и NUL (байт NULL).

Функция addslashes() часто применяется при записи в базу данных. Предположим, если нужно внести в базу данных имяO'reilly, то эту строку необходимо проэкранировать. Настоятельно рекомендуется использовать функцию экранирования, специфичную для используемой вами базы данных (например, mysqli_real_escape_string() для MySQL или pg_escape_string()для PostgreSQL), но если используемая вами база данных не имеет собственной функции экранирования и для экранирования специальных символов используется символ \, то для этой цели можно воспользоваться данной функцией.

И я не особо уверен что до последнего абзаца кто-то доходит

 

[Absinthe]

hell0w0rd, а теперь обяъсни разницу между mysqli_real_escape_string и addslashes. Мне.

 

[hell0w0rd]

Absinthe, эм, а что я должен объяснять? Загляни в доки и увидишь все
Но если прям хочется указать что я сам ничего не понимаю - данная функция работает в зависимости от кодировки соединения

Просто надо понимать, что подготовка строки - это костыльный метод. Гораздо правильнее подготовить запрос, указав драйверу, что тут вот будет строка, а не sql-выражение и для этого придумали подготовленные выражения

 

[Absinthe]

hell0w0rd, насколько я знаю, разница между вышеуказанными функциями есть только на экзотических неиспользуемых кодировках.

 

[hell0w0rd]

Absinthe, мой первый пост на эту тему был к тому, что человек в доках видит "используйте для подготовки строк перед вставкой в базу" - и собственно отсюда возможно считает что так делать правильно

 

[D_Pavel]

Из всего вышесказанного я делаю вывод что я был прав, а кто умничал, тот разбирается в вопросе хуже меня.

 

[флоппик]

"Интересный факт: Человек, который не понимает того, что вы ему говорите, считает тупым не себя, а вас." (c) Интернеты

 

[Breeze]

Из всего вышесказанного я делаю вывод что я был прав, а кто умничал, тот разбирается в вопросе хуже меня.

твое заявление говорит ровно об одном -- в вопросе ты разбираешься на уровне детсада.

Absinthe, ты не в состоянии мануал почитать в чем разница или hell0w0rd потроллить охота?

 

[D_Pavel]

Хотелось бы услышать мнение понимающего человека, а не пустобрехов.

 

[vasinsky]

повтори вопрос если не сложно - лень в 5 страницах его искать

 

[D_Pavel]

Вопрос такой: На своем форуме я использую addslashes для всех переменных запроса. Есть ли угроза инъекций в этом случае? Если есть, то как это возможно? Я считаю что никак не возможно.

Код:

if (isset($_POST['login'])){

$sqllogin = trim(addslashes($_POST['login']));

$sqlpassword = trim(addslashes($_POST['password']));

$sqlemail = trim(addslashes($_POST['email']));

$res = mysqli_query($link, "SELECT * FROM users WHERE (email='$sqllogin' OR nik='$sqllogin') and password='$sqlpassword'") or die(mysql_error());

 

[fixxxer]

Во-первых, "использую addslashes" ничего не гарантирует (так же как ничего не гарантирует и "использую mysql_real_escape_string").

Очевидный пример:

$id = addslashes($id);
mysql_query("SELECT * FROM messages WHERE id = $id");

Потому следует говорить об использовании _в контексте_ форматирования строковых параметров.

Во-вторых, addslashes ничего не знает об используемой базе, кодировке, настройках базы, параметрах соединения и т.п. Он просто подписывает \ перед жестко заданным в коде набором символов. С рядом допущений это сработает, но куда лучше использовать не какую-то левую нашлелку, а родные функции базы, которые точно знают, как надо форматировать строку в контексте данной базы и данных настроек соединения.

 

[D_Pavel]

Кодировка очевидно не китайская. Либо UTF-8, либо windows-1251 так как мы русские, в моем случае первый вариант.