Вопрос по правильной подготовке данных для БД (экранирование, фильтрация и пр.)??

@battrack · Регистрация: 17.02.2009

Author24 — интернет-сервис помощи студентам

Здравствуйте!

Разрабатывал, разрабатывал сайты и наконец пришел к такой проблеме: требуется написать функцию граммотной фильтрации данных, вводимых пользователем
для дальнейшей их записи в бд. (Речь идет о php и mysql).
Случай, казалось бы простейший: есть некая форма, которую пользователь заполняет, жмет "отправить", после чего данные записываются в БД.
У меня был свой класс, который содержал две функции, в одной из которых я готовил передаваемые данные для записи в базу (экранировал спецсимволы,
заменял html-теги, проверял на наличие "нежелательных" последовательностей (типа SELECT, INSERT, DELETE и т.д.), усекал длину). Т.е. данная функция готовила
данные для записи в БД. Другая функция, делала все обратные операции, т.е. после извлечения данных из базы, эта функция приводила их к виду,
подходящему для вывода на страничку.
Все это хорошо работало до тех пор пока я не столкнулся с разработкой сайта на французском языке. Вот тогда то и всплыли баги. С буквами
фран. алфавита (теми, которых нет в кириллице и латиннице, например всякие там е с засечкой сверху, или как она там называется...). Грубо говоря,
преобразование данных перестало правильно работать. Затем еще нарисовалась проблема, когда я "обнаружил", что на некоторых хостингах
работает автоматическое экранирование спецсимволов, например при передаче через POST, а на некоторых нет. Из-за этого тоже возникли определенные
сложности с переносимостью кода.

В общем всем этим я хотел подвести к такому вопросу: может кто посоветует как правильно организовать подготовку данных для БД и наоборот. А может
еще лучше, кто даст готовые проверенные функции или классы??

@FunDuck · 08.02.2010, 15:56

Попробуйте htmlspecialchars($text, ENT_QUOTES);

@Ceran · 08.02.2010, 21:31

Посмотри моё изобретение. Если и не поможет как ты ожидаешь, может натолкнёт на какие-то мысли.
Класс по сути простой, но очень эффективный (с моей точки зрения). Писал для себя пару лет назад.

PHP

<?php
// ПРОВЕРКА ВВОДИМЫХ ДАННЫХ /////////////////////////////////////
class check
     {
      public function digit($num) // Числа
            {
             (int)$this->num=$num;
             $this->num=PREG_REPLACE("/[^\d]/i","",$this->num);
             RETURN $this->num;
            }
 
      public function input($string) // Строки c перекодировкой текста из UTF8 в WINDOWS-1251
            {
             (string)$this->string=$string;
             $this->string=ICONV("utf-8","windows-1251",$this->string);
             $this->string=PREG_REPLACE("/[^\w-:\!\?\(\),\. ]|INSERT|DELETE|UPDATE|UNION|SET|SELECT|TRUNCATE|DROP|TABLE/i","",$this->string);
             $this->string=TRIM($this->string);
             RETURN $this->string;
            }
 
      public function inputClear($string) // Строки без перекодировки
            {
             (string)$this->string=$string;
             $this->string=PREG_REPLACE("/[^\w-:\!\?\(\),\. ]|INSERT|DELETE|UPDATE|UNION|SET|SELECT|TRUNCATE|DROP|TABLE/i","",$this->string);
             $this->string=TRIM($this->string);
             RETURN $this->string;
            }
 
      public function textarea($string) // Многостроковые текстовые поля c перекодировкой текста из UTF8 в WINDOWS-1251
            {
             (string)$this->string=$string;
             $this->string=ICONV("utf-8","windows-1251",$this->string);
             $this->string=PREG_REPLACE("/[^\w-:\!\?\(\),\.\n ]|INSERT|DELETE|UPDATE|UNION|SET|SELECT|TRUNCATE|DROP|TABLE/i","",$this->string);
             $this->string=PREG_REPLACE("/([\r]?\n)/i","\n",$this->string);
             $this->string=TRIM($this->string);
             if($this->string!=="")
               {
                $stringArray=EXPLODE("\n",$this->string);
                for($i=0;$i<=COUNT($stringArray);$i++)
                   {
                    if($stringArray[$i])  { $textarea[]=PREG_REPLACE("/\s+/"," ",$stringArray[$i]); }
                   }
                $this->string = IMPLODE("\n",$textarea);
               }
             $this->string=TRIM($this->string);
             RETURN $this->string;
            }
 
      public function textareaClear($string) // Многостроковые текстовые поля  без перекодировки
            {
             (string)$this->string=$string;
             $this->string=PREG_REPLACE("/[^\w-:\!\?\(\),\.\n ]|INSERT|DELETE|UPDATE|UNION|SET|SELECT|TRUNCATE|DROP|TABLE/i","",$this->string);
             $this->string=PREG_REPLACE("/([\r]?\n)/i","\n",$this->string);
             $this->string=TRIM($this->string);
             if($this->string!=="")
               {
                $stringArray=EXPLODE("\n",$this->string);
                for($i=0;$i<=COUNT($stringArray);$i++)
                   {
                    if($stringArray[$i])  { $textarea[]=PREG_REPLACE("/\s+/"," ",$stringArray[$i]); }
                   }
                $this->string = IMPLODE("\n",$textarea);
               }
             $this->string=TRIM($this->string);
             RETURN $this->string;
            }
 
      public function mail($string)  // Проверка e-mail на корректность
            {
             (string)$this->string=$string;
             $this->string=PREG_REPLACE("/[^\w-@\.]|INSERT|DELETE|UPDATE|UNION|SET|SELECT|TRUNCATE|DROP|TABLE/i","",$this->string);
             if(PREG_MATCH("/[0-9a-z_-]+@[0-9a-z_\-^\.]+\.[0-9a-z]{2,3}/i",$this->string)?$this->string=$this->string:$this->string=NULL);
             RETURN $this->string;
            }
 
      public function word($string) // Любой текст, как правило отправляемый приложением, например, как дополнитеьный параметр в функцию, на который извне повлиять невозможно
            {
             (string)$this->string=$string;
             $this->string=PREG_REPLACE("/[^\w- ]|INSERT|DELETE|UPDATE|UNION|SET|SELECT|TRUNCATE|DROP|TABLE/i","",$this->string);
             $this->string=TRIM($this->string);
             RETURN $this->string;
            }
 
      public function search($string) // Строка поиска с перекодировкой в Windows 1251
            {
             (string)$this->string=$string;
             $this->string=ICONV("utf-8","windows-1251",$this->string);
             $this->string=PREG_REPLACE("/[^\w- ]|INSERT|DELETE|UPDATE|UNION|SET|SELECT|TRUNCATE|DROP|TABLE/i","",$this->string);
             $this->string=TRIM($this->string);
             RETURN $this->string;
            }
      public function searchClear($string) // Строка поиска
            {
             (string)$this->string=$string;
             $this->string=PREG_REPLACE("/[^\w- ]|INSERT|DELETE|UPDATE|UNION|SET|SELECT|TRUNCATE|DROP|TABLE/i","",$this->string);
             $this->string=TRIM($this->string);
             RETURN $this->string;
            }
      public function ip($string) // IP - адрес
            {
             (string)$this->string=$string;
             $this->string=PREG_REPLACE("/[^\d\.]/i","",$this->string);
             $this->string=TRIM($this->string);
             RETURN $this->string;
            }
     }
?>

Немного поясню про кодировки. Здесь они мне необходимы, потому что этот класс я использовал для работы с XML и с технологией ajax, а JavaScript, как известно очень капризна в вопросе кодировок. Думаю, что без проблем разберёшься.

Ну а что касается безопасности запросов, то после работы выше изложенного класса лично я использую MYSQL_ESCAPE_STRING() ко всем переменным входящим в SQL-запрос.
Примерно так:

PHP

1
2
3

SELECT `news`  
FROM `".MYSQL_ESCAPE_STRING(TAB_NEWS_ALL)."`                                             
WHERE `newsId`=1"

Думаю, что тут тоже объяснять нечего.

@battrack 0 / 0 / 0 Регистрация: 17.02.2009 Сообщений: 34
		1
	Вопрос по правильной подготовке данных для БД (экранирование, фильтрация и пр.)?? 08.02.2010, 13:42. Показов 3861. Ответов 2 Метки нет (Все метки) Здравствуйте! Разрабатывал, разрабатывал сайты и наконец пришел к такой проблеме: требуется написать функцию граммотной фильтрации данных, вводимых пользователем для дальнейшей их записи в бд. (Речь идет о php и mysql). Случай, казалось бы простейший: есть некая форма, которую пользователь заполняет, жмет "отправить", после чего данные записываются в БД. У меня был свой класс, который содержал две функции, в одной из которых я готовил передаваемые данные для записи в базу (экранировал спецсимволы, заменял html-теги, проверял на наличие "нежелательных" последовательностей (типа SELECT, INSERT, DELETE и т.д.), усекал длину). Т.е. данная функция готовила данные для записи в БД. Другая функция, делала все обратные операции, т.е. после извлечения данных из базы, эта функция приводила их к виду, подходящему для вывода на страничку. Все это хорошо работало до тех пор пока я не столкнулся с разработкой сайта на французском языке. Вот тогда то и всплыли баги. С буквами фран. алфавита (теми, которых нет в кириллице и латиннице, например всякие там е с засечкой сверху, или как она там называется...). Грубо говоря, преобразование данных перестало правильно работать. Затем еще нарисовалась проблема, когда я "обнаружил", что на некоторых хостингах работает автоматическое экранирование спецсимволов, например при передаче через POST, а на некоторых нет. Из-за этого тоже возникли определенные сложности с переносимостью кода. В общем всем этим я хотел подвести к такому вопросу: может кто посоветует как правильно организовать подготовку данных для БД и наоборот. А может еще лучше, кто даст готовые проверенные функции или классы?? 0

@FunDuck 692 / 383 / 51 Регистрация: 22.01.2009 Сообщений: 1,135
	08.02.2010, 15:56	2
	Попробуйте htmlspecialchars($text, ENT_QUOTES); 0

	08.02.2010, 21:31

Вопрос по правильной подготовке данных для БД (экранирование, фильтрация и пр.)??

Решение