SQL инъекции

@Rasnor · Регистрация: 10.08.2014

Студворк — интернет-сервис помощи студентам

Всем привет начал учить раздел книги посвященный sql инъекциям и появился небольшой вопрос. Вот кусочек кода:

PHP
1
2
3
4
5
$purchase_id = $_GET["purchase_id"];
if (get_magic_quotes_gpc( )) { // Защита от инъекции SQL
$qstring = stripslashes($purchase_id);
}
$purchase_id = mysql_real_escape_string($purchase_id);

Я не понимаю зачем он. Т.е если защита включена то мы убираем те / что защита поставила а затем опять ставим эти / ? И еще я загуглил get_magic_quotes_gpc чтобы разузнать побольше и я нашел статью где написано что get_magic_quotes_gpc всегда возвращает FALSE, так как функционал магических кавычек удален из PHP. Я не понял что значит функционал магических кавычек удален из PHP.

@Seovin · 06.02.2015, 00:47

здесь смотрим

@Rasnor · 06.02.2015, 01:43 **[ТС]**

Я прочитал статью, не особо понял зачем удаляются магические кавычки но раз теперь их удалили зачем мы их опять вставляем. Серьёзно не понимаю. Вот мой ход мыслей. У нас есть проблема с безопасностью баз данных, для этого придумали эти слеши которые экранизируют кавычки, а конкретно get_magic_quotes_gpc , мы устранили эту проблему, но эти слеши усложняют работу программистам, тогда нужно их убрать, мы их убираем с помощью функции stripslashes, у нас опять появляется проблема с безопасностью и мы берем другую функцию mysql_real_escape_string которая ставит те же самые слеши в те же самые места и мы опять устранили эту проблему тем же самым способом только под другим именем. Если я все правильно понял то это божественное решение проблемы.

@Custos · 06.02.2015, 06:30

Rasnor, вместо тысячи слов: prepared statements (PDO / mysqli)

@Rasnor · 06.02.2015, 23:02 **[ТС]**

Ты нечто, ты заставил меня прочитать дофига статей на тему связываемых переменных, которые к моему вопросу вообще не имеют отношения, но все равно спс, узнал что-то новое, но не ответ на мой вопрос. Такое чувство я единственный кто читал эту книгу и единственный кто посмотрел в интернете что делают эти функции.

Dee Snider · 06.02.2015, 23:14

Зато теперь ты знаешь, что некоторые книги по PHP лучше не читать

@root · 07.02.2015, 14:04

Сообщение от Dee Snider

некоторые книги по PHP лучше не читать

только параметризированные запросы (prepared statements). Все остальное - говнокод

Новые блоги и статьи Все статьи Все блоги /
Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .	И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .
SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .	SDL3 для Web (WebAssembly): Работа со звуком через SDL3_mixer 8Observer8 08.02.2026 Содержание блога Пошагово создадим проект для загрузки звукового файла и воспроизведения звука с помощью библиотеки SDL3_mixer. Звук будет воспроизводиться по клику мышки по холсту на Desktop и по. . .

@Seovin 79 / 79 / 36 Регистрация: 28.02.2014 Сообщений: 400
	06.02.2015, 00:47
	здесь смотрим 0

@Rasnor 0 / 0 / 1 Регистрация: 10.08.2014 Сообщений: 60
	06.02.2015, 01:43 [ТС]
	Я прочитал статью, не особо понял зачем удаляются магические кавычки но раз теперь их удалили зачем мы их опять вставляем. Серьёзно не понимаю. Вот мой ход мыслей. У нас есть проблема с безопасностью баз данных, для этого придумали эти слеши которые экранизируют кавычки, а конкретно get_magic_quotes_gpc , мы устранили эту проблему, но эти слеши усложняют работу программистам, тогда нужно их убрать, мы их убираем с помощью функции stripslashes, у нас опять появляется проблема с безопасностью и мы берем другую функцию mysql_real_escape_string которая ставит те же самые слеши в те же самые места и мы опять устранили эту проблему тем же самым способом только под другим именем. Если я все правильно понял то это божественное решение проблемы. 0

@Custos Software Engineer 332 / 335 / 55 Регистрация: 23.09.2014 Сообщений: 996
	06.02.2015, 06:30
	Rasnor, вместо тысячи слов: prepared statements (PDO / mysqli) 2

@Rasnor 0 / 0 / 1 Регистрация: 10.08.2014 Сообщений: 60
	06.02.2015, 23:02 [ТС]
	Ты нечто, ты заставил меня прочитать дофига статей на тему связываемых переменных, которые к моему вопросу вообще не имеют отношения, но все равно спс, узнал что-то новое, но не ответ на мой вопрос. Такое чувство я единственный кто читал эту книгу и единственный кто посмотрел в интернете что делают эти функции. 0

Dee Snider 25 / 25 / 9 Регистрация: 18.04.2013 Сообщений: 131
	06.02.2015, 23:14
	Зато теперь ты знаешь, что некоторые книги по PHP лучше не читать 1