Поможет ли такая защита от sql инъекции?

@Риназ · Регистрация: 16.06.2017

Студворк — интернет-сервис помощи студентам

Всем привет! Хочу проверить вводимый текст пользователя таким образом:

PHP
1
$user_text = filter_var(mb_substr(trim($_POST['user_text']), 0, 100), FILTER_SANITIZE_STRING);

Поможет ли такая проверка от sql инъекции?

@Jewbacabra · 03.01.2019, 16:48

нет

@Риназ · 03.01.2019, 17:06 **[ТС]**

Jewbacabra, можете, пожалуйста, привести пример как правильно?

@Jewbacabra · 03.01.2019, 17:35

https://secure.php.net/manual/... ection.php

@Риназ · 03.01.2019, 17:44 **[ТС]**

Jewbacabra, а это поможет?

PHP
1
2
3
$login = trim($_GET['login']);
$login = strip_tags($login);
$login = mysqli_real_escape_string($mysqli, $login);

@Jewbacabra · 03.01.2019, 17:46

https://secure.php.net/manual/... string.php

Эта функция используется для создания допустимых в SQL строк, которые можно использовать в SQL выражениях. Заданная строка кодируется в экранированную SQL строку, используя текущий набор символов подключения.

@estic · 03.01.2019, 18:09

Риназ, решения давно известны: подготовленные запросы или экранирование фактических данных, вставляемых в запросы. Если нужно проверить именно на вероятность инъекции, пусть и неосознанной, экранируйте строку и сравнивайте результат с исходной строкой. Если будут различия, значит, экранирование возымело действие, т.е. вероятность инъекции была. Надеюсь, вы понимаете, что это вовсе не означает, что в действительности была попытка инъекции.

Добавлено через 22 минуты

Сообщение от Риназ

а это поможет?

Какое отношение к вопросу имеет strip_tags?

Кодировку соединения устанавливаете явно или надеетесь на корректную кодировку по умолчанию?

@Риназ · 03.01.2019, 18:46 **[ТС]**

estic, скажите, пожалуйста, а если записать данные в бд в зашифрованном виде (base64_encode)?
По теории же base64_encode шифрует входящие данные и даже если среди них будет зловредный код, то он будет зашифрован и не сможет выполниться?

@Jewbacabra · 03.01.2019, 19:27

Не по теме:

Риназ, откуда столько неуверенности?

@Риназ · 03.01.2019, 19:29 **[ТС]**

Jewbacabra, просто из-за не внимательности у меня уже взломали один сайт, поэтому хочу 100% быть уверенным

@estic · 03.01.2019, 19:59

Естественно, алфавит Base64 безопасен для "разрыва" строк, обрамленных ' или ", но это неэффективно и не всегда удобно, например поиск по такому тесту уже будет сделать трудно.

@Риназ · 03.01.2019, 20:03 **[ТС]**

estic, а почему не эффективно?

@estic · 03.01.2019, 20:08

Нужно декодировать, объем кода на четверть больше исходника.

@Риназ · 03.01.2019, 20:22 **[ТС]**

Ну текст, который я буду шифровать не более 100 символов, поэтому большой задержки думаю не будет

@Jodah · 04.01.2019, 15:17

Сообщение от Риназ

если записать данные в бд в зашифрованном виде (base64_encode)?

Вы логин хотите шифровать? Нет смысла.

Сообщение от Риназ

зловредный код, то он будет зашифрован и не сможет выполниться?

Если он лежит в БД, то в любом случае не сможет выполниться. А если вы выводите логин на экран, тогда нужно пропускать строку через htmlentities или htmlspecialchars, чтобы, к примеру, строка <script>alert('hello');</script> вывелась как есть на экран, а не выполнилась браузером как скрипт.

@Риназ · 04.01.2019, 15:34 **[ТС]**

Jodah, скажите, пожалуйста, вот такая проверка поможет от sql инъекции?

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
<?php
$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (?, ?)");
$stmt->bindParam(1, $name);
$stmt->bindParam(2, $value);
 
// вставим одну строку
$name = $_GET["name"];
$value = 1;
$stmt->execute();
 
// теперь другую строку с другими значениями
$name = 'two';
$value = 2;
$stmt->execute();
?>

@Jodah · 04.01.2019, 15:56

Риназ, да.

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .
SDL3 для Web (WebAssembly): Работа со звуком через SDL3_mixer 8Observer8 08.02.2026 Содержание блога Пошагово создадим проект для загрузки звукового файла и воспроизведения звука с помощью библиотеки SDL3_mixer. Звук будет воспроизводиться по клику мышки по холсту на Desktop и по. . .	SDL3 для Web (WebAssembly): Основы отладки веб-приложений на SDL3 по USB и Wi-Fi, запущенных в браузере мобильных устройств 8Observer8 07.02.2026 Содержание блога Браузер Chrome имеет средства для отладки мобильных веб-приложений по USB. В этой пошаговой инструкции ограничимся работой с консолью. Вывод в консоль - это часть процесса. . .	SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .

@Jewbacabra 4925 / 3920 / 1620 Регистрация: 24.04.2014 Сообщений: 11,441
	03.01.2019, 16:48
	нет 0

@Риназ 12 / 2 / 2 Регистрация: 16.06.2017 Сообщений: 532
	03.01.2019, 17:06 [ТС]
	Jewbacabra, можете, пожалуйста, привести пример как правильно? 0

@Jewbacabra 4925 / 3920 / 1620 Регистрация: 24.04.2014 Сообщений: 11,441
	03.01.2019, 17:35
	https://secure.php.net/manual/... ection.php 0

@Риназ 12 / 2 / 2 Регистрация: 16.06.2017 Сообщений: 532
	03.01.2019, 18:46 [ТС]
	estic, скажите, пожалуйста, а если записать данные в бд в зашифрованном виде (base64_encode)? По теории же base64_encode шифрует входящие данные и даже если среди них будет зловредный код, то он будет зашифрован и не сможет выполниться? 0

@Jewbacabra
	03.01.2019, 19:27
	Не по теме: Риназ, откуда столько неуверенности? 0

@Риназ 12 / 2 / 2 Регистрация: 16.06.2017 Сообщений: 532
	03.01.2019, 19:29 [ТС]
	Jewbacabra, просто из-за не внимательности у меня уже взломали один сайт, поэтому хочу 100% быть уверенным 0

@estic 1307 / 999 / 232 Регистрация: 01.10.2018 Сообщений: 3,891
	03.01.2019, 19:59
	Естественно, алфавит Base64 безопасен для "разрыва" строк, обрамленных `'` или `"`, но это неэффективно и не всегда удобно, например поиск по такому тесту уже будет сделать трудно. 0

@Риназ 12 / 2 / 2 Регистрация: 16.06.2017 Сообщений: 532
	03.01.2019, 20:03 [ТС]
	estic, а почему не эффективно? 0

@estic 1307 / 999 / 232 Регистрация: 01.10.2018 Сообщений: 3,891
	03.01.2019, 20:08
	Нужно декодировать, объем кода на четверть больше исходника. 0

@Риназ 12 / 2 / 2 Регистрация: 16.06.2017 Сообщений: 532
	03.01.2019, 20:22 [ТС]
	Ну текст, который я буду шифровать не более 100 символов, поэтому большой задержки думаю не будет 0

@Jodah 3899 / 3237 / 1353 Регистрация: 01.08.2012 Сообщений: 10,909
	04.01.2019, 15:56
	Риназ, да. 0