проверка на sql-ijection

@qoony · Регистрация: 18.08.2010

Студворк — интернет-сервис помощи студентам

пытаюсь написать скрипт на проверку sql-injection
поскольку есть несколько функций которые по своему алгоритму проверяют разны переменные, решил написать отдельную функцию для проверки на injection ну чтоб не вводить один код 100 раз
функция на проверку injection вернет 0 если присутствует injection и наоборот....
теоретически получилось....практически нет.....помогите пожайлуста разобраться.....
вот код

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
<?php
function checkInjection($string){
    $forbined =array("/UNION/", "/SELECT/", "DELETE", "'", ";", ":", "<?php", "<?php", "?>");
    foreach($forbined as $blocked ){
        if( stristr($string, $blocked) ){
            return 0;
        } else {
            return 1;
        }
    }
}
 
$srt ="union";
if( !checkInjection($str) ){
    echo "injection";
} else {
    echo "clean";
}
?>

всем огромное спосибо!!!!!!

Humanoid · 03.12.2010, 08:36

Зачем так мучиться? Просто все данные, которые приходят из вне нужно пропускать через mysql_real_escape_string() или через addslashes(). Все эти данные обязательно нужно использовать в SQL-запросе в кавычках. Нельзя делать, что бы часть запроса передавалась от браузера.

@qoony · 03.12.2010, 13:43 **[ТС]**

Humanoid

я кроме этого всегда так делаю...использую mysql_-----_string и никогда не забываю про кавычки.....этого достатьчно??

Humanoid · 03.12.2010, 14:27

Если от клиента приходят только данные, то да. А вот если от клиента приходит кусок самого SQL, тогда проблемы будут. Но от этого нужно просто уходить. Например, столбцы, по которым нужно сортировать. Лучше их передавать номерами, а потом в PHP уже составлять запрос:
Например, передаём номер столбца для сортировки:
file.php?order=3

PHP
1
2
3
4
5
6
7
8
9
$order = (int)$_GET['order'];
switch($order)
{
  default:
  case 1: orderstr='id'; break;
  case 2: orderstr='name'; break;
  case 3: orderstr='nom'; break;
}
$sql="SELECT * FROM tab1 ORDER BY $orderstr";

Но не желательно делать так:
file.php?order=nom

PHP
1
2
$oder=mysql_real_escape_string($_GET['order']);
$sql="SELECT * FROM tab1 ORDER BY $order"; // ТАК ДЕЛАТЬ НЕЛЬЗЯ!!! В этом случае есть угроза инъекции... и mysql_real_escape_string не поможет

В общем, все входные данные можно использовать только как данные и только с экранированием спецсимоволов:

PHP
1
2
3
$d1 = mysql_real_escape_string($_POST['d1']);
$d2 = mysql_real_escape_string($_POST['d2']);
$sql = "SELECT * FROM tab1 WHERE data1='d1' AND data2='d2'";

В этом случае mysql_real_escape_string достаточно.

@qoony · 03.12.2010, 20:52 **[ТС]**

Humanoid
я понял....теперь просто перепишу функции которые проверяют данные.....
СПОСБО!!!

Новые блоги и статьи Все статьи Все блоги /
Первый деплой lagorue 16.01.2026 Не спеша развернул своё 1ое приложение в kubernetes. А дальше мне интересно создать 1фронтэнд приложения и 2 бэкэнд приложения развернуть 2 деплоя в кубере получится 2 сервиса и что-бы они. . .	Расчёт переходных процессов в цепи постоянного тока igorrr37 16.01.2026 / * Дана цепь постоянного тока с R, L, C, k(ключ), U, E, J. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа, решает её и находит токи на L и напряжения на C в установ. режимах до и. . .	Восстановить юзерскрипты Greasemonkey из бэкапа браузера damix 15.01.2026 Если восстановить из бэкапа профиль Firefox после переустановки винды, то список юзерскриптов в Greasemonkey будет пустым. Но восстановить их можно так. Для этого понадобится консольная утилита. . .	Изучаю kubernetes lagorue 13.01.2026 А пригодятся-ли мне знания kubernetes в России?
Сукцессия микоризы: основная теория в виде двух уравнений. anaschu 11.01.2026 https:/ / rutube. ru/ video/ 7a537f578d808e67a3c6fd818a44a5c4/	WordPad для Windows 11 Jel 10.01.2026 WordPad для Windows 11 — это приложение, которое восстанавливает классический текстовый редактор WordPad в операционной системе Windows 11. После того как Microsoft исключила WordPad из. . .	Classic Notepad for Windows 11 Jel 10.01.2026 Old Classic Notepad for Windows 11 Приложение для Windows 11, позволяющее пользователям вернуть классическую версию текстового редактора «Блокнот» из Windows 10. Программа предоставляет более. . .	Почему дизайн решает? Neotwalker 09.01.2026 В современном мире, где конкуренция за внимание потребителя достигла пика, дизайн становится мощным инструментом для успеха бренда. Это не просто красивый внешний вид продукта или сайта — это. . .

Humanoid Почетный модератор 11554 / 4349 / 452 Регистрация: 12.06.2008 Сообщений: 12,453
	03.12.2010, 08:36
	Зачем так мучиться? Просто все данные, которые приходят из вне нужно пропускать через mysql_real_escape_string() или через addslashes(). Все эти данные обязательно нужно использовать в SQL-запросе в кавычках. Нельзя делать, что бы часть запроса передавалась от браузера. 0

@qoony 0 / 0 / 0 Регистрация: 18.08.2010 Сообщений: 46
	03.12.2010, 13:43 [ТС]
	Humanoid я кроме этого всегда так делаю...использую mysql_-----_string и никогда не забываю про кавычки.....этого достатьчно?? 0

@qoony 0 / 0 / 0 Регистрация: 18.08.2010 Сообщений: 46
	03.12.2010, 20:52 [ТС]
	Humanoid я понял....теперь просто перепишу функции которые проверяют данные..... СПОСБО!!! 0