Поможет ли такая защита от sql инъекции?

@Риназ · Регистрация: 16.06.2017

Студворк — интернет-сервис помощи студентам

Всем привет! Хочу проверить вводимый текст пользователя таким образом:

PHP
1
$user_text = filter_var(mb_substr(trim($_POST['user_text']), 0, 100), FILTER_SANITIZE_STRING);

Поможет ли такая проверка от sql инъекции?

@Jewbacabra · 03.01.2019, 16:48

нет

@Риназ · 03.01.2019, 17:06 **[ТС]**

Jewbacabra, можете, пожалуйста, привести пример как правильно?

@Jewbacabra · 03.01.2019, 17:35

https://secure.php.net/manual/... ection.php

@Риназ · 03.01.2019, 17:44 **[ТС]**

Jewbacabra, а это поможет?

PHP
1
2
3
$login = trim($_GET['login']);
$login = strip_tags($login);
$login = mysqli_real_escape_string($mysqli, $login);

@Jewbacabra · 03.01.2019, 17:46

https://secure.php.net/manual/... string.php

Эта функция используется для создания допустимых в SQL строк, которые можно использовать в SQL выражениях. Заданная строка кодируется в экранированную SQL строку, используя текущий набор символов подключения.

@estic · 03.01.2019, 18:09

Риназ, решения давно известны: подготовленные запросы или экранирование фактических данных, вставляемых в запросы. Если нужно проверить именно на вероятность инъекции, пусть и неосознанной, экранируйте строку и сравнивайте результат с исходной строкой. Если будут различия, значит, экранирование возымело действие, т.е. вероятность инъекции была. Надеюсь, вы понимаете, что это вовсе не означает, что в действительности была попытка инъекции.

Добавлено через 22 минуты

Сообщение от Риназ

а это поможет?

Какое отношение к вопросу имеет strip_tags?

Кодировку соединения устанавливаете явно или надеетесь на корректную кодировку по умолчанию?

@Риназ · 03.01.2019, 18:46 **[ТС]**

estic, скажите, пожалуйста, а если записать данные в бд в зашифрованном виде (base64_encode)?
По теории же base64_encode шифрует входящие данные и даже если среди них будет зловредный код, то он будет зашифрован и не сможет выполниться?

@Jewbacabra · 03.01.2019, 19:27

Не по теме:

Риназ, откуда столько неуверенности?

@Риназ · 03.01.2019, 19:29 **[ТС]**

Jewbacabra, просто из-за не внимательности у меня уже взломали один сайт, поэтому хочу 100% быть уверенным

@estic · 03.01.2019, 19:59

Естественно, алфавит Base64 безопасен для "разрыва" строк, обрамленных ' или ", но это неэффективно и не всегда удобно, например поиск по такому тесту уже будет сделать трудно.

@Риназ · 03.01.2019, 20:03 **[ТС]**

estic, а почему не эффективно?

@estic · 03.01.2019, 20:08

Нужно декодировать, объем кода на четверть больше исходника.

@Риназ · 03.01.2019, 20:22 **[ТС]**

Ну текст, который я буду шифровать не более 100 символов, поэтому большой задержки думаю не будет

@Jodah · 04.01.2019, 15:17

Сообщение от Риназ

если записать данные в бд в зашифрованном виде (base64_encode)?

Вы логин хотите шифровать? Нет смысла.

Сообщение от Риназ

зловредный код, то он будет зашифрован и не сможет выполниться?

Если он лежит в БД, то в любом случае не сможет выполниться. А если вы выводите логин на экран, тогда нужно пропускать строку через htmlentities или htmlspecialchars, чтобы, к примеру, строка <script>alert('hello');</script> вывелась как есть на экран, а не выполнилась браузером как скрипт.

@Риназ · 04.01.2019, 15:34 **[ТС]**

Jodah, скажите, пожалуйста, вот такая проверка поможет от sql инъекции?

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
<?php
$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (?, ?)");
$stmt->bindParam(1, $name);
$stmt->bindParam(2, $value);
 
// вставим одну строку
$name = $_GET["name"];
$value = 1;
$stmt->execute();
 
// теперь другую строку с другими значениями
$name = 'two';
$value = 2;
$stmt->execute();
?>

@Jodah · 04.01.2019, 15:56

Риназ, да.

Новые блоги и статьи Все статьи Все блоги /
Отчёт о затраченных материалах за определенный период с макетом печатной формы Maks 21.04.2026 Отчёт из решения ниже размещён в конфигурации КА2. Задача: разработка отчёта по затраченным материалам за определённый период, с возможностью вывода печатной формы отчёта с шапкой и подвалом. В. . .	Отчёт о спецтехнике находящейся в ремонте Maks 20.04.2026 Отчёт из решения ниже размещен в конфигурации КА2. Задача: отобразить спецтехнику, которая на данный момент находится в ремонте. Есть нетиповой документ "Заявка на ремонт спецтехники" который. . .	Памятка для бота и "визитка" для читателей "Semantic Universe Layer (Слой семантической вселенной)" Hrethgir 19.04.2026 Сгенерировано для краткого описания по случаю сборки и компиляции скелета серверного приложения. И пусть после этого скажут, что статьи сгенерированные AI - туфта и не интересно. И это не реклама -. . .	Запрет удаления строк ТЧ документа при определённом условии Maks 19.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "Аккумуляторы", разработанного в конфигурации КА2. У данного документа есть ТЧ, в которой в зависимости от прав доступа. . .
Модель заражения группы наркоманов alhaos 17.04.2026 Условия задачи сформулированы тут Суть: - Группа наркоманов из 10 человек. - Только один инфицирован ВИЧ. - Колются одной иглой. - Колются раз в день. - Колются последовательно через. . .	Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .	My Business CRM MaGz GoLd 16.04.2026 Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .	Знаешь почему 90% людей редко бывают счастливыми? kumehtar 14.04.2026 Потому что они ждут. Ждут выходных, ждут отпуска, ждут удачного момента. . . а удачный момент так и не приходит.

@Jewbacabra 4925 / 3920 / 1620 Регистрация: 24.04.2014 Сообщений: 11,441
	03.01.2019, 16:48
	нет 0

@Риназ 12 / 2 / 2 Регистрация: 16.06.2017 Сообщений: 532
	03.01.2019, 17:06 [ТС]
	Jewbacabra, можете, пожалуйста, привести пример как правильно? 0

@Jewbacabra 4925 / 3920 / 1620 Регистрация: 24.04.2014 Сообщений: 11,441
	03.01.2019, 17:35
	https://secure.php.net/manual/... ection.php 0

@Риназ 12 / 2 / 2 Регистрация: 16.06.2017 Сообщений: 532
	03.01.2019, 18:46 [ТС]
	estic, скажите, пожалуйста, а если записать данные в бд в зашифрованном виде (base64_encode)? По теории же base64_encode шифрует входящие данные и даже если среди них будет зловредный код, то он будет зашифрован и не сможет выполниться? 0

@Jewbacabra
	03.01.2019, 19:27
	Не по теме: Риназ, откуда столько неуверенности? 0

@Риназ 12 / 2 / 2 Регистрация: 16.06.2017 Сообщений: 532
	03.01.2019, 19:29 [ТС]
	Jewbacabra, просто из-за не внимательности у меня уже взломали один сайт, поэтому хочу 100% быть уверенным 0

@estic 1315 / 1007 / 232 Регистрация: 01.10.2018 Сообщений: 3,911
	03.01.2019, 19:59
	Естественно, алфавит Base64 безопасен для "разрыва" строк, обрамленных `'` или `"`, но это неэффективно и не всегда удобно, например поиск по такому тесту уже будет сделать трудно. 0

@Риназ 12 / 2 / 2 Регистрация: 16.06.2017 Сообщений: 532
	03.01.2019, 20:03 [ТС]
	estic, а почему не эффективно? 0

@estic 1315 / 1007 / 232 Регистрация: 01.10.2018 Сообщений: 3,911
	03.01.2019, 20:08
	Нужно декодировать, объем кода на четверть больше исходника. 0

@Риназ 12 / 2 / 2 Регистрация: 16.06.2017 Сообщений: 532
	03.01.2019, 20:22 [ТС]
	Ну текст, который я буду шифровать не более 100 символов, поэтому большой задержки думаю не будет 0

@Jodah 3900 / 3238 / 1353 Регистрация: 01.08.2012 Сообщений: 10,914
	04.01.2019, 15:56
	Риназ, да. 0