Защита полей формы

@Леон21 · Регистрация: 27.04.2015

Студворк — интернет-сервис помощи студентам

Ломаю голову как защитить бд с формы регистрации пользователя.

В форме простые поля: логин, пароль, пароль еще раз, email
Все данные передаются методом post в php обработчик, который проверяет на валидность и при успехе пишет данные в базу.

Вот так примерно проверяются поля:

PHP
1
2
3
4
5
6
7
8
9
10
if ($newpass1 !== $newpass2) { $q = "Пароли не совпадают! Проверьте данные и попробуете еще раз!"; } 
if ($emails = mysqli_query($connect, "SELECT email FROM users WHERE email = '$email'")) {
    if (mysqli_num_rows($emails) > 0) {
        $q = "E-mail который вы ввели, уже использован. Попробуйте запросить восстановление пароля или обратитесь к консультанту!";
    }
}
if ($newpass1 == '' || $newpass2 == '') { $q= 'Проверьте поле с паролем, поля должны совпадать!'; }
if ($name == '') { $q= 'Вы не заполнили поле "Логин", оно обязательное!'; }
if (!filter_var($email, FILTER_VALIDATE_EMAIL)) { $q= 'Введите правильный "E-mail" адрес!'; }
if ($email == '') { $q= 'Вы не заполнили поле "E-mail", оно обязательное!'; }

Затем как-то так пишу в базу:

PHP
1
2
$pass = md5($newpass1);
$new_reg = "INSERT INTO `my_users`(`id`, `name`, `pass`, `role`, `email`, `date_registration`) VALUES (0,'$name','$pass','user','$email','$nowdate')";

Я думаю мне удалось защитить только поле с email добавив проверку фильтром:
if (!filter_var($email, FILTER_VALIDATE_EMAIL)) { $q= 'Введите правильный "E-mail" адрес!'; }

Что по остальным можно сделать?

@sasha0012 · 19.11.2019, 14:43

Сообщение от Леон21

Я думаю мне удалось защитить только поле с email добавив проверку фильтром:

и зря вы так думайте. Смотрите какая очередность у вас в коде. Перед тем как попасть в filter_var у вас переменная $email уже понатворила делов в БД.

Сообщение от Леон21

Что по остальным можно сделать?

если вообще нет никаких ограничений по полям ввода, тогда так:

PHP
1
2
$var1 = mysqli_real_escape_string($connect, $_POST['input1']);
$var2 = mysqli_real_escape_string($connect, $_POST['input2']);

Но как правило лучше использовать шаблоны типа такого:

PHP
1
2
3
4
if(!preg_match("/^[A-Za-zА-ЯЁа-яё0-9\_]{2,50}$/iu",$login)){
    $error = true;
    $error_message[] = 'логин должен состоять из.....';
}

@TolikD · 19.11.2019, 14:51

Сообщение от sasha0012

если вообще нет никаких ограничений по полям ввода, тогда так:

PHP
1
2
$var1 = mysqli_real_escape_string($connect, $_POST['input1']);
$var2 = mysqli_real_escape_string($connect, $_POST['input2']);

Тоже обходится. Поэтому не вариант.
А второй самое то.

@sasha0012 · 19.11.2019, 14:52

Сообщение от TolikD

Тоже обходится. Поэтому не вариант.

можно пример?

@Леон21 · 19.11.2019, 14:58 **[ТС]**

sasha0012, спасибо, доходчиво, я на всякий пожарный и то и то использовал, прогоняю через mysqli_real_escape_string и потом еще по шаблону.

@TolikD · 19.11.2019, 15:01

Мне бд на этом поломали где-то года 3 назад. Я тоже понадеялся на данную функцию и не мог понять, как это сделали, потому что запрос не сохранялся в логах. Потом я нашел статью где-то, там показан вариант обхода, но не конкретно про функцию php, а в случае, когда возникает данная фильтрация. Я сейчас не могу её найти, как-то давно не интересовался. Надо долго копаться, найду - выложу.

@ke1evra · 27.11.2019, 10:58

real_escape_string это очень плохо. нужно использовать подготовленные запросы.

@sasha0012 · 27.11.2019, 18:17

Сообщение от ke1evra

real_escape_string это очень плохо.

а у вас с чего такое мнение сложилось? Бабка у подъезда сказала? Или "слышу звон не знаю где он"?

Если уж утверждаете что плохо, то хоть обоснуйте почему. Желательно с примерами конечно.

@ke1evra · 27.11.2019, 18:38

Сообщение от sasha0012

а у вас с чего такое мнение сложилось? Бабка у подъезда сказала? Или "слышу звон не знаю где он"?

Если уж утверждаете что плохо, то хоть обоснуйте почему. Желательно с примерами конечно.

Для начала нужно просто прочитать назначение функции, потом прочитать о том, что я написал. После сделать сравнение и логические выводы. Назначение функции real_escape_string - это экранирование, а никак не защита БД, в то время как подготовленные запросы... в общем на php.net всё предельно ясно описано, нужно лишь приложить немного усилий, чтобы прочитать.

@sasha0012 · 27.11.2019, 18:50

Сообщение от ke1evra

Назначение функции real_escape_string - это экранирование, а никак не защита БД

а вы знаете функцию в php котороя предназначена именно для защиты от инъекций?

Сообщение от ke1evra

в то время как подготовленные запросы...

почему не продолжили? В то время как подготовленные запросы ЧТО? Предназначены для защиты от инъекций? Тут я могу вас огорчить, и подготовленный запрос может инъекцию пропустить.

Сообщение от ke1evra

После сделать сравнение и логические выводы

а вы сделали логические выводы из этого:

Сообщение от sasha0012

Бабка у подъезда сказала? Или "слышу звон не знаю где он"?

судя по всему нет. Ещё раз повторю, прежде чем утверждать что это плохо, неплохо было бы сначала разобраться в сути происходящего. Если вы не можете продемонстрировать инъекцию через функцию mysqli_real_escape_string, то не утверждайте что это возможно.

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .	SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .	SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .
SDL3 для Web (WebAssembly): Установка Emscripten SDK (emsdk) и CMake для сборки C и C++ приложений в Wasm 8Observer8 30.01.2026 Содержание блога Для того чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. . . .	SDL3 для Android: Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .	SDL3 для Android: Загрузка PNG с альфа-каналом с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 28.01.2026 Содержание блога SDL3 имеет собственные средства для загрузки и отображения PNG-файлов с альфа-каналом и базовой работы с ними. В этой инструкции используется функция SDL_LoadPNG(), которая. . .

@Леон21 2 / 2 / 2 Регистрация: 27.04.2015 Сообщений: 38
	19.11.2019, 14:58 [ТС]
	sasha0012, спасибо, доходчиво, я на всякий пожарный и то и то использовал, прогоняю через mysqli_real_escape_string и потом еще по шаблону. 0

@TolikD 117 / 81 / 36 Регистрация: 30.07.2017 Сообщений: 371
	19.11.2019, 15:01
	Мне бд на этом поломали где-то года 3 назад. Я тоже понадеялся на данную функцию и не мог понять, как это сделали, потому что запрос не сохранялся в логах. Потом я нашел статью где-то, там показан вариант обхода, но не конкретно про функцию php, а в случае, когда возникает данная фильтрация. Я сейчас не могу её найти, как-то давно не интересовался. Надо долго копаться, найду - выложу. 0

@ke1evra 51 / 38 / 13 Регистрация: 20.01.2019 Сообщений: 115
	27.11.2019, 10:58
	real_escape_string это очень плохо. нужно использовать подготовленные запросы. 0

Защита полей формы

Решение