Поможет ли такая защита от sql инъекции?

@Риназ · Регистрация: 16.06.2017

Студворк — интернет-сервис помощи студентам

Всем привет! Хочу проверить вводимый текст пользователя таким образом:

PHP
1
$user_text = filter_var(mb_substr(trim($_POST['user_text']), 0, 100), FILTER_SANITIZE_STRING);

Поможет ли такая проверка от sql инъекции?

@Jewbacabra · 03.01.2019, 16:48

нет

@Риназ · 03.01.2019, 17:06 **[ТС]**

Jewbacabra, можете, пожалуйста, привести пример как правильно?

@Jewbacabra · 03.01.2019, 17:35

https://secure.php.net/manual/... ection.php

@Риназ · 03.01.2019, 17:44 **[ТС]**

Jewbacabra, а это поможет?

PHP
1
2
3
$login = trim($_GET['login']);
$login = strip_tags($login);
$login = mysqli_real_escape_string($mysqli, $login);

@Jewbacabra · 03.01.2019, 17:46

https://secure.php.net/manual/... string.php

Эта функция используется для создания допустимых в SQL строк, которые можно использовать в SQL выражениях. Заданная строка кодируется в экранированную SQL строку, используя текущий набор символов подключения.

@estic · 03.01.2019, 18:09

Риназ, решения давно известны: подготовленные запросы или экранирование фактических данных, вставляемых в запросы. Если нужно проверить именно на вероятность инъекции, пусть и неосознанной, экранируйте строку и сравнивайте результат с исходной строкой. Если будут различия, значит, экранирование возымело действие, т.е. вероятность инъекции была. Надеюсь, вы понимаете, что это вовсе не означает, что в действительности была попытка инъекции.

Добавлено через 22 минуты

Сообщение от Риназ

а это поможет?

Какое отношение к вопросу имеет strip_tags?

Кодировку соединения устанавливаете явно или надеетесь на корректную кодировку по умолчанию?

@Риназ · 03.01.2019, 18:46 **[ТС]**

estic, скажите, пожалуйста, а если записать данные в бд в зашифрованном виде (base64_encode)?
По теории же base64_encode шифрует входящие данные и даже если среди них будет зловредный код, то он будет зашифрован и не сможет выполниться?

@Jewbacabra · 03.01.2019, 19:27

Не по теме:

Риназ, откуда столько неуверенности?

@Риназ · 03.01.2019, 19:29 **[ТС]**

Jewbacabra, просто из-за не внимательности у меня уже взломали один сайт, поэтому хочу 100% быть уверенным

@estic · 03.01.2019, 19:59

Естественно, алфавит Base64 безопасен для "разрыва" строк, обрамленных ' или ", но это неэффективно и не всегда удобно, например поиск по такому тесту уже будет сделать трудно.

@Риназ · 03.01.2019, 20:03 **[ТС]**

estic, а почему не эффективно?

@estic · 03.01.2019, 20:08

Нужно декодировать, объем кода на четверть больше исходника.

@Риназ · 03.01.2019, 20:22 **[ТС]**

Ну текст, который я буду шифровать не более 100 символов, поэтому большой задержки думаю не будет

@Jodah · 04.01.2019, 15:17

Сообщение от Риназ

если записать данные в бд в зашифрованном виде (base64_encode)?

Вы логин хотите шифровать? Нет смысла.

Сообщение от Риназ

зловредный код, то он будет зашифрован и не сможет выполниться?

Если он лежит в БД, то в любом случае не сможет выполниться. А если вы выводите логин на экран, тогда нужно пропускать строку через htmlentities или htmlspecialchars, чтобы, к примеру, строка <script>alert('hello');</script> вывелась как есть на экран, а не выполнилась браузером как скрипт.

@Риназ · 04.01.2019, 15:34 **[ТС]**

Jodah, скажите, пожалуйста, вот такая проверка поможет от sql инъекции?

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
<?php
$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (?, ?)");
$stmt->bindParam(1, $name);
$stmt->bindParam(2, $value);
 
// вставим одну строку
$name = $_GET["name"];
$value = 1;
$stmt->execute();
 
// теперь другую строку с другими значениями
$name = 'two';
$value = 2;
$stmt->execute();
?>

@Jodah · 04.01.2019, 15:56

Риназ, да.

Новые блоги и статьи Все статьи Все блоги /
Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США. Programma_Boinc 26.12.2025 Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США. Нашел на реддите интересную статью под названием «Кто-нибудь знает, где получить бесплатный компьютер или. . .	Thinkpad X220 Tablet — это лучший бюджетный ноутбук для учёбы, точка. Programma_Boinc 23.12.2025 Рецензия / Мнение/ Перевод Нашел на реддите интересную статью под названием The Thinkpad X220 Tablet is the best budget school laptop period . Ниже её машинный перевод. Thinkpad X220 Tablet —. . .	PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Как объединить две одинаковые БД Access с разными данными VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro
Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .

@Jewbacabra 4925 / 3920 / 1620 Регистрация: 24.04.2014 Сообщений: 11,441
	03.01.2019, 16:48
	нет 0

@Риназ 12 / 2 / 2 Регистрация: 16.06.2017 Сообщений: 532
	03.01.2019, 17:06 [ТС]
	Jewbacabra, можете, пожалуйста, привести пример как правильно? 0

@Jewbacabra 4925 / 3920 / 1620 Регистрация: 24.04.2014 Сообщений: 11,441
	03.01.2019, 17:35
	https://secure.php.net/manual/... ection.php 0

@Риназ 12 / 2 / 2 Регистрация: 16.06.2017 Сообщений: 532
	03.01.2019, 18:46 [ТС]
	estic, скажите, пожалуйста, а если записать данные в бд в зашифрованном виде (base64_encode)? По теории же base64_encode шифрует входящие данные и даже если среди них будет зловредный код, то он будет зашифрован и не сможет выполниться? 0

@Jewbacabra
	03.01.2019, 19:27
	Не по теме: Риназ, откуда столько неуверенности? 0

@Риназ 12 / 2 / 2 Регистрация: 16.06.2017 Сообщений: 532
	03.01.2019, 19:29 [ТС]
	Jewbacabra, просто из-за не внимательности у меня уже взломали один сайт, поэтому хочу 100% быть уверенным 0

@estic 1306 / 998 / 232 Регистрация: 01.10.2018 Сообщений: 3,874
	03.01.2019, 19:59
	Естественно, алфавит Base64 безопасен для "разрыва" строк, обрамленных `'` или `"`, но это неэффективно и не всегда удобно, например поиск по такому тесту уже будет сделать трудно. 0

@Риназ 12 / 2 / 2 Регистрация: 16.06.2017 Сообщений: 532
	03.01.2019, 20:03 [ТС]
	estic, а почему не эффективно? 0

@estic 1306 / 998 / 232 Регистрация: 01.10.2018 Сообщений: 3,874
	03.01.2019, 20:08
	Нужно декодировать, объем кода на четверть больше исходника. 0

@Риназ 12 / 2 / 2 Регистрация: 16.06.2017 Сообщений: 532
	03.01.2019, 20:22 [ТС]
	Ну текст, который я буду шифровать не более 100 символов, поэтому большой задержки думаю не будет 0

@Jodah 3899 / 3237 / 1353 Регистрация: 01.08.2012 Сообщений: 10,904
	04.01.2019, 15:56
	Риназ, да. 0