ну, как минимум, имя базы.таблицы
-
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады
Класс для безопасной работы с MySQL
- Автор темы Фанат
- Дата начала
С.
Продвинутый новичок
Это не пользовательская информация, а доверенные конфигурационные данные. Зачем тут плейсхолдеры? Обычные строковые операции РНР еще никто не отменял.
Корректно форматировать надо любые элементы запроса, а не только пользовательские данные.
Случаи бывают разные.
Ну и, если честно, я не вижу предмета спора. Не понадобится такая запись - и хорошо.
С.
Продвинутый новичок
Согласен, не самая важная тема для спора. Хотя не могу не заметить, что использование плейсхолдера ?n для имени базы или таблицы не очень коррелирует с термином "корректно". Нельзя идти на поводу за каждым бзиком типа этого или плейсхолдера в данных. Где-то надо остановиться и предоставить разработчику самому решать его собственные экзотические случаи, иначе класс преврашается в очередного мастодонта.
почему? Это идентификаторный плейсхолдер, а правила форматирования всех плейсхолдеров одинаковы.
Какая проблема использовать его для базы данных?
Эту фразу не понял
Ну, то есть, с самой мыслью согласен на 100%, но не понял, как она относится к текущему обсуждению.
Вроде бы, зарядить идею fixxxer-а совсем несложно.
damner2
Новичок
Фанат
Надеюсь, ты не используешь "уже несколько месяцев" метод whiteList:
1. У array_search больше обязательных параметров, так как ща работать не будет
2. Будет notice при вызове whiteList('a', array('b' => 'b'))
3. Есть подозрение, что методам whiteList, filterArray не место в этом классе
Надеюсь, ты не используешь "уже несколько месяцев" метод whiteList:
1. У array_search больше обязательных параметров, так как ща работать не будет
2. Будет notice при вызове whiteList('a', array('b' => 'b'))
3. Есть подозрение, что методам whiteList, filterArray не место в этом классе
Тут спорно, т.к. с точки зрения ANSI SQL `sth`.`oth` и `sth.oth` — разные идентификаторы, но насколько знаю, так работает только в оракле.
Пункты 0 и 3 имеют много общего.Фанат
Надеюсь, ты не используешь "уже несколько месяцев" метод whiteList:
1. У array_search больше обязательных параметров, так как ща работать не будет
2. Будет notice при вызове whiteList('a', array('b' => 'b'))
3. Есть подозрение, что методам whiteList, filterArray не место в этом классе
Оба метода именно что добавлены при выделении кода из рабочего класса, для реализации второго пункта правил защиты от инъекций.
Это то самое совмещение идей, о котором я говорил в начале.
при этом я даже ещё не определился окончательно с синтаксисом вайтлиста и алгоритмом его работы. И именно по той причине, по которой возникают вопросы по уместности нахождения его в классе.
По-хорошему, вайтлист должен кидать 404. Но поскольку в классе нет, разумеется, никакой работы с НТТР, то он тупо кидает FALSE, который предполагается ловить в коде.
В общем, всё криво.
Но я, если честно, не вижу альтернатив, если использовать класс в не-MVC окружении.
Инструмент должен быть.
Если будут идеи, как прилепить менее криво, сохраняя безопасность - буду благодарен.
Просто мне кажется, ты пытаешься объектный синтаксис скрестить с процедурным подходом, оттуда и головная боль. Нельзя остаться где-то между, по моему.
Нафига в имени базы/таблицы точка? По такой логике я могу и ` в имени таблицы захотеть
Вурдалак
Продвинутый новичок
Здравствуй, Баев!
Так.
Это был Вурдалак.
И я натупил уже минимум на бутылку в его пользу, учитывая и недавний случай. Готов поставить в любое время.
Итак, как временное* решение для "Казуса ~WR~" можно применить регулярку Вурдалака, которая будет обходить вопросы, лежащие в данных.
Остаётся только один вопрос - можно ли вообразить случай, когда вопросы будут встречаться вне строк?
Скажем, кто-то захочет использовать парсер для сборки запросов, которые потом пойдут в ПДО. Маловероятный же сценарий?
Тем не менее, не стоит ли, сейчас, пока на берегу, поменять по-быстрому символ плейсхолдера?
Это был Вурдалак.
И я натупил уже минимум на бутылку в его пользу, учитывая и недавний случай. Готов поставить в любое время.
Итак, как временное* решение для "Казуса ~WR~" можно применить регулярку Вурдалака, которая будет обходить вопросы, лежащие в данных.
Остаётся только один вопрос - можно ли вообразить случай, когда вопросы будут встречаться вне строк?
Скажем, кто-то захочет использовать парсер для сборки запросов, которые потом пойдут в ПДО. Маловероятный же сценарий?
Тем не менее, не стоит ли, сейчас, пока на берегу, поменять по-быстрому символ плейсхолдера?
посмотрел внимательно
мысли такие
1) разделить четко raw query и prepared query, prepared можно обернуть в тупой класс с одной строкой внутри например - просто как маркер. preparequery дергать для данной raw query-(под)строки всегда 1 раз
2) добавить плейсхолдер для подстановки части запроса, руками строки не собирать
то есть в итоге в примере WR будет так
как вариант - в п.1 проверять если не instanceof SafeMysqlString то prepareQuery.
что-то по типу перлового taint
мысли такие
1) разделить четко raw query и prepared query, prepared можно обернуть в тупой класс с одной строкой внутри например - просто как маркер. preparequery дергать для данной raw query-(под)строки всегда 1 раз
2) добавить плейсхолдер для подстановки части запроса, руками строки не собирать
то есть в итоге в примере WR будет так
PHP:
$one = 'some text with ?s placeholders';
$where = $db->parse("one = ?s",$one);
assert('$where instanceof SafeMysqlString');
$data = $db->getAll("SELECT * FROM table WHERE ?q LIMIT ?i,?i", $where,$start,$per_page); // $q - (instanceof SafeMysqlString)->__toString()что-то по типу перлового taint