Форум программистов, компьютерный форум, киберфорум
PHP: базы данных
Форум программистов и сисадминов Киберфорум > Форум web-программистов > PHP > PHP: базы данных
Войти
Регистрация
Восстановить пароль
Блоги Сообщество Поиск Заказать работу  
 
Рейтинг 4.55/11: Рейтинг темы: голосов - 11, средняя оценка - 4.55
1 / 1 / 1
Регистрация: 03.02.2014
Сообщений: 281

SQL инъекция через post

13.10.2015, 20:11. Показов 2215. Ответов 10
Метки нет (Все метки)
Студворк — интернет-сервис помощи студентам
Защитил сайт посредством замены всех составляющих sql запроса на пробел. Теперь вопрос в том, что делать с POST?
0
cpp_developer
Эксперт
20123 / 5690 / 1417
Регистрация: 09.04.2010
Сообщений: 22,546
Блог
 13.10.2015, 20:11
Ответы с готовыми решениями:

SQL инъекция
Здравствуйте! Скажите пожалуйста. у меня есть такой запрос к БД: return(mysql_result(mysql_query("SELECT COUNT(`user_id`) FROM...

SQL инъекция
Здравствуйте! Пытаюсь разобраться с защитой от инъекций. И для этого хочу попробовать провести простейшую инъекцию. Проблема заключается...

SQL инъекция
Здравствуйте. Мне сообщили, что в коде одного из плагинов сайта существует возможность включения SQL инъекции в строке 28 "$aid =...

10
Эксперт PHP
3899 / 3237 / 1353
Регистрация: 01.08.2012
Сообщений: 10,909
13.10.2015, 20:34
Цитата Сообщение от Trances Посмотреть сообщение
Защитил сайт посредством замены всех составляющих sql запроса на пробел.
Wat? Что за неизведанная технология?
Цитата Сообщение от Trances Посмотреть сообщение
Теперь вопрос в том, что делать с POST?
Экранировать, проверять на корректность. Либо вообще не принимать, тогда 100% не взломают. Хотя можно тоже на пробелы заменить.
0
1 / 1 / 1
Регистрация: 03.02.2014
Сообщений: 281
13.10.2015, 20:38  [ТС]
Jodah, не правильно выразился... В общем, есть функция, которая заменяет в GET большинство SQL запросов на пробелы. Как справится с POST?
0
Эксперт PHP
3899 / 3237 / 1353
Регистрация: 01.08.2012
Сообщений: 10,909
13.10.2015, 20:45
Trances, такс... есть функция... она берёт $_GET... достаёт оттуда SQL-запросы... и заменяет большинство (не все!) на пробелы.

Мне хочется плакать. Я вообще, абсолютно, ровным счётом ничего не понимаю.
0
1 / 1 / 1
Регистрация: 03.02.2014
Сообщений: 281
13.10.2015, 20:47  [ТС]
Jodah,

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59

function f1($to){
$to = htmlspecialchars(trim($to));
$to = str_replace("'","′",$to);
$to = str_replace(";","¦",$to);
$to = str_replace("$"," USD ",$to);
$to = str_replace("<","&lang;",$to);
$to = str_replace(">","&rang;",$to);
$to = str_replace('"',"&rdquo;",$to);
$to = str_replace("%27"," ",$to);
$to = str_replace("0x29"," ",$to);
$to = str_replace("&amp amp ","&",$to);
$to = str_replace("&amp amp ","&",$to);
$to = str_replace("AND","",$to);
$to = str_replace("UNION","",$to);
$to = str_replace("SELECT","",$to);
$to = str_replace("WHERE","",$to);
$to = str_replace("INSERT","",$to);
$to = str_replace("UPDATE","",$to);
$to = str_replace("Update","",$to);
$to = str_replace("update","",$to);
$to = str_replace("uPdate","",$to);
$to = str_replace("uPDate","",$to);
$to = str_replace("DELETE","",$to);
$to = str_replace("OUTFILE","",$to);
$to = str_replace("FROM","",$to);
$to = str_replace("ALTER","",$to);
$to = str_replace("exec","",$to);
$to = str_replace("tables","",$to);
$to = str_replace("id","",$to);
$to = str_replace("or","",$to);
$to = str_replace("Or","",$to);
$to = str_replace("oR","",$to);
$to = str_replace("select","",$to);
$to = str_replace("limit","",$to);
$to = str_replace("where","",$to);
$to = str_replace("concat","",$to);
$to = str_replace("from","",$to);
$to = str_replace("0x","",$to);
$to = str_replace("union","",$to);
$to = str_replace("information_schema","",$to);
$to = str_replace("INFORMATION_SCHEMA","",$to);
$to = str_replace("TABLES","",$to);
$to = str_replace("(","",$to);
$to = str_replace(")","",$to);
$to = str_replace("mid","",$to);
$to = str_replace("+","",$to);
$to = str_replace(" ","",$to);
$to = str_replace("%20","",$to);
return $to;
}
 
function f2(&$sf_array) 
{ 
 while (list ($X,$D) = each ($sf_array)): 
  $sf_array[$X] = f1(mysql_escape_string(strip_tags(htmlspecialchars($D))));
 endwhile;
}
 
f2($_GET);
0
Эксперт PHP
3899 / 3237 / 1353
Регистрация: 01.08.2012
Сообщений: 10,909
13.10.2015, 20:57
Какая-то жуткая жесть. Зачем всё это?

Цитата Сообщение от Trances Посмотреть сообщение
$to = str_replace("UPDATE","",$to);
$to = str_replace("Update","",$to);
$to = str_replace("update","",$to);
$to = str_replace("uPdate","",$to);
$to = str_replace("uPDate","",$to);
У str_replace есть регистронезависимый аналог, чтобы не писать одно и то же 10 раз.
0
1 / 1 / 1
Регистрация: 03.02.2014
Сообщений: 281
13.10.2015, 21:04  [ТС]
Jodah, спасибо за совет, но суть не в этом, а в POST.
0
Эксперт PHP
3899 / 3237 / 1353
Регистрация: 01.08.2012
Сообщений: 10,909
13.10.2015, 21:14
Trances, я понимаю, но объясните, что именно вы хотите сделать и с какой целью. Без чёткого понимания задачи я не смогу вам помочь.
0
1 / 1 / 1
Регистрация: 03.02.2014
Сообщений: 281
13.10.2015, 21:22  [ТС]
Jodah, я хочу защитить сайт.

Добавлено через 3 минуты
Jodah, Хорошо. Вы говорили про str_ireplace? Вот. К тому же такой вопрос. Является ли это вот защитой или же это полный бред?
PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47

function f1($to){
$to = htmlspecialchars(trim($to));
$to = str_replace("'","",$to);
$to = str_replace(";","",$to);
$to = str_replace("$","",$to);
$to = str_replace("<","",$to);
$to = str_replace(">","",$to);
$to = str_replace('"',"",$to);
$to = str_replace("%27"," ",$to);
$to = str_replace("0x29"," ",$to);
$to = str_replace("&amp amp ","&",$to);
$to = str_replace("&amp amp ","&",$to);
$to = str_ireplace("AND","",$to);
$to = str_ireplace("UNION","",$to);
$to = str_ireplace("SELECT","",$to);
$to = str_ireplace("WHERE","",$to);
$to = str_ireplace("INSERT","",$to);
$to = str_ireplace("UPDATE", "", $to);
$to = str_ireplace("DELETE","",$to);
$to = str_ireplace("OUTFILE","",$to);
$to = str_ireplace("FROM","",$to);
$to = str_ireplace("ALTER","",$to);
$to = str_replace("exec","",$to);
$to = str_replace("id","",$to);
$to = str_ireplace("or","",$to);
$to = str_replace("concat","",$to);
$to = str_ireplace("0x","",$to);
$to = str_ireplace("information_schema","",$to);
$to = str_ireplace("TABLES","",$to);
$to = str_replace("(","",$to);
$to = str_replace(")","",$to);
$to = str_replace("mid","",$to);
$to = str_replace("+","",$to);
$to = str_replace(" ","",$to);
$to = str_replace("%20","",$to);
return $to;
}
 
function f2(&$sf_array) 
{ 
 while (list ($X,$D) = each ($sf_array)): 
  $sf_array[$X] = f1(mysql_escape_string(strip_tags(htmlspecialchars($D))));
 endwhile;
} 
 
f2($_GET);
f2($_POST);
0
Эксперт PHP
3899 / 3237 / 1353
Регистрация: 01.08.2012
Сообщений: 10,909
13.10.2015, 21:43
Trances,
Для защиты от sql-инъекций есть множество способов - использование PDO, экранирование данных, проверка на корректность и т.д.

Смысла в использовании этих функций не вижу:
1. В случае регистрации юзер пишет, свой ник "collider" в строке 24 его ник обрежется и он станет "coller". И таких примеров можно придумать миллион.
Цитата Сообщение от Trances Посмотреть сообщение
strip_tags(htmlspecialchars($D))
2. Нет смысла использовать strip_tags после htmlspecialchars, поскольку последняя превращает скобки <> в html-сущности, которые strip_tags не распознает как тег.

Для каждой формы нужно делать свою обработку данных. Например, для идентификатора достаточно сделать (int):
PHP
1

$id = (int) $_GET['id'];
И не нужна сотня str_replace.

Для того же E-mail нужно проверять правильность структуры (xxx@xxx.xxx).

В общем, повторюсь, смысла в этих функциях не вижу.
0
Заблокирован
14.10.2015, 08:46
Trances, filter_var() для всего этого используется, в том числе и для мыла.
Сами по себе SQL команды передаваемые в запросах не представляют никакой опасности. Просто нужно использовать при записи в базу плейсхолдеры. И конечно не пытаться запускать на выполнение то что хранится в базе. htmlspecialchars используется для вывода в браузер, а не для защиты от инъекций. strip_tags вообще работает только с валидными кодом. в противном случае ее поведение непредсказуемо. Короче весь ваш код сплошная бессмыслица
0
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
raxper
Эксперт
30234 / 6612 / 1498
Регистрация: 28.12.2010
Сообщений: 21,154
Блог
 14.10.2015, 08:46
Помогаю со студенческими работами здесь

SQL инъекция на сервер Oracle
Имеется некий веб-интерфейс для доступа к БД Oracle, позволяющий выполнять некоторые запросы к базе и выводить результат в Excel - таблицу....

Как проверить текст от пользователя, чтобы не попала sql инъекция?
Всем привет! Есть форма, где пользователь вводит текст (на любом языке). Как проверить этот текст, чтобы не попала sql инъекция? Я...

Безопасность - sql инъекция?
mysql_query(&quot;UPDATE `users` SET `id_vk`='&quot; . (int)$vk_profile . &quot;', `sites_ref`='$site_ref' WHERE `user_id`=$id_profile&quot;);Вместо $site_ref...

Cookie или sql инъекция
Всем доброго времени суток. Столкнулся с проблемой извлечения данных с сайта банки точка ру. (отзывы). Необходимо достать отзывы. Хотел...

SQL инъекция в Access database
Привет. Приложение, которое вставляет данные в аксес базу данных. Код вставки такой: *command.CommandText = &quot;INSERT INTO Problem...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
11
Ответ Создать тему
Новые блоги и статьи
http://iceja.net/ математические сервисы
iceja 20.01.2026
Обновила свой сайт http:/ / iceja. net/ , приделала Fast Fourier Transform экстраполяцию сигналов. Однако предсказывает далеко не каждый сигнал (см ограничения http:/ / iceja. net/ fourier/ docs ). Также. . .
http://iceja.net/ сервер решения полиномов
iceja 18.01.2026
Выкатила http:/ / iceja. net/ сервер решения полиномов (находит действительные корни полиномов методом Штурма). На сайте документация по API, но скажу прямо VPS слабенький и 200 000 полиномов. . .
Расчёт переходных процессов в цепи постоянного тока
igorrr37 16.01.2026
/ * Дана цепь постоянного тока с R, L, C, k(ключ), U, E, J. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа, решает её и находит переходные токи и напряжения на элементах схемы. . . .
Восстановить юзерскрипты Greasemonkey из бэкапа браузера
damix 15.01.2026
Если восстановить из бэкапа профиль Firefox после переустановки винды, то список юзерскриптов в Greasemonkey будет пустым. Но восстановить их можно так. Для этого понадобится консольная утилита. . .
Сукцессия микоризы: основная теория в виде двух уравнений.
anaschu 11.01.2026
https:/ / rutube. ru/ video/ 7a537f578d808e67a3c6fd818a44a5c4/
WordPad для Windows 11
Jel 10.01.2026
WordPad для Windows 11 — это приложение, которое восстанавливает классический текстовый редактор WordPad в операционной системе Windows 11. После того как Microsoft исключила WordPad из. . .
Classic Notepad for Windows 11
Jel 10.01.2026
Old Classic Notepad for Windows 11 Приложение для Windows 11, позволяющее пользователям вернуть классическую версию текстового редактора «Блокнот» из Windows 10. Программа предоставляет более. . .
Почему дизайн решает?
Neotwalker 09.01.2026
В современном мире, где конкуренция за внимание потребителя достигла пика, дизайн становится мощным инструментом для успеха бренда. Это не просто красивый внешний вид продукта или сайта — это. . .
КиберФорум - форум программистов, компьютерный форум, программирование
Поддержать - Реклама - Условия использования - Обратная связь
Powered by vBulletin
Copyright ©2000 - 2026, CyberForum.ru