Вопрос по правильной подготовке данных для БД (экранирование, фильтрация и пр.)??

@battrack · Регистрация: 17.02.2009

Студворк — интернет-сервис помощи студентам

Здравствуйте!

Разрабатывал, разрабатывал сайты и наконец пришел к такой проблеме: требуется написать функцию граммотной фильтрации данных, вводимых пользователем
для дальнейшей их записи в бд. (Речь идет о php и mysql).
Случай, казалось бы простейший: есть некая форма, которую пользователь заполняет, жмет "отправить", после чего данные записываются в БД.
У меня был свой класс, который содержал две функции, в одной из которых я готовил передаваемые данные для записи в базу (экранировал спецсимволы,
заменял html-теги, проверял на наличие "нежелательных" последовательностей (типа SELECT, INSERT, DELETE и т.д.), усекал длину). Т.е. данная функция готовила
данные для записи в БД. Другая функция, делала все обратные операции, т.е. после извлечения данных из базы, эта функция приводила их к виду,
подходящему для вывода на страничку.
Все это хорошо работало до тех пор пока я не столкнулся с разработкой сайта на французском языке. Вот тогда то и всплыли баги. С буквами
фран. алфавита (теми, которых нет в кириллице и латиннице, например всякие там е с засечкой сверху, или как она там называется...). Грубо говоря,
преобразование данных перестало правильно работать. Затем еще нарисовалась проблема, когда я "обнаружил", что на некоторых хостингах
работает автоматическое экранирование спецсимволов, например при передаче через POST, а на некоторых нет. Из-за этого тоже возникли определенные
сложности с переносимостью кода.

В общем всем этим я хотел подвести к такому вопросу: может кто посоветует как правильно организовать подготовку данных для БД и наоборот. А может
еще лучше, кто даст готовые проверенные функции или классы??

@FunDuck · 08.02.2010, 15:56

Попробуйте htmlspecialchars($text, ENT_QUOTES);

@Ceran · 08.02.2010, 21:31

Посмотри моё изобретение. Если и не поможет как ты ожидаешь, может натолкнёт на какие-то мысли.
Класс по сути простой, но очень эффективный (с моей точки зрения). Писал для себя пару лет назад.

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
<?php
// ПРОВЕРКА ВВОДИМЫХ ДАННЫХ /////////////////////////////////////
class check
     {
      public function digit($num) // Числа
            {
             (int)$this->num=$num;
             $this->num=PREG_REPLACE("/[^\d]/i","",$this->num);
             RETURN $this->num;
            }
 
      public function input($string) // Строки c перекодировкой текста из UTF8 в WINDOWS-1251
            {
             (string)$this->string=$string;
             $this->string=ICONV("utf-8","windows-1251",$this->string);
             $this->string=PREG_REPLACE("/[^\w-:\!\?\(\),\. ]|INSERT|DELETE|UPDATE|UNION|SET|SELECT|TRUNCATE|DROP|TABLE/i","",$this->string);
             $this->string=TRIM($this->string);
             RETURN $this->string;
            }
 
      public function inputClear($string) // Строки без перекодировки
            {
             (string)$this->string=$string;
             $this->string=PREG_REPLACE("/[^\w-:\!\?\(\),\. ]|INSERT|DELETE|UPDATE|UNION|SET|SELECT|TRUNCATE|DROP|TABLE/i","",$this->string);
             $this->string=TRIM($this->string);
             RETURN $this->string;
            }
 
      public function textarea($string) // Многостроковые текстовые поля c перекодировкой текста из UTF8 в WINDOWS-1251
            {
             (string)$this->string=$string;
             $this->string=ICONV("utf-8","windows-1251",$this->string);
             $this->string=PREG_REPLACE("/[^\w-:\!\?\(\),\.\n ]|INSERT|DELETE|UPDATE|UNION|SET|SELECT|TRUNCATE|DROP|TABLE/i","",$this->string);
             $this->string=PREG_REPLACE("/([\r]?\n)/i","\n",$this->string);
             $this->string=TRIM($this->string);
             if($this->string!=="")
               {
                $stringArray=EXPLODE("\n",$this->string);
                for($i=0;$i<=COUNT($stringArray);$i++)
                   {
                    if($stringArray[$i])  { $textarea[]=PREG_REPLACE("/\s+/"," ",$stringArray[$i]); }
                   }
                $this->string = IMPLODE("\n",$textarea);
               }
             $this->string=TRIM($this->string);
             RETURN $this->string;
            }
 
      public function textareaClear($string) // Многостроковые текстовые поля  без перекодировки
            {
             (string)$this->string=$string;
             $this->string=PREG_REPLACE("/[^\w-:\!\?\(\),\.\n ]|INSERT|DELETE|UPDATE|UNION|SET|SELECT|TRUNCATE|DROP|TABLE/i","",$this->string);
             $this->string=PREG_REPLACE("/([\r]?\n)/i","\n",$this->string);
             $this->string=TRIM($this->string);
             if($this->string!=="")
               {
                $stringArray=EXPLODE("\n",$this->string);
                for($i=0;$i<=COUNT($stringArray);$i++)
                   {
                    if($stringArray[$i])  { $textarea[]=PREG_REPLACE("/\s+/"," ",$stringArray[$i]); }
                   }
                $this->string = IMPLODE("\n",$textarea);
               }
             $this->string=TRIM($this->string);
             RETURN $this->string;
            }
 
      public function mail($string)  // Проверка e-mail на корректность
            {
             (string)$this->string=$string;
             $this->string=PREG_REPLACE("/[^\w-@\.]|INSERT|DELETE|UPDATE|UNION|SET|SELECT|TRUNCATE|DROP|TABLE/i","",$this->string);
             if(PREG_MATCH("/[0-9a-z_-]+@[0-9a-z_\-^\.]+\.[0-9a-z]{2,3}/i",$this->string)?$this->string=$this->string:$this->string=NULL);
             RETURN $this->string;
            }
 
      public function word($string) // Любой текст, как правило отправляемый приложением, например, как дополнитеьный параметр в функцию, на который извне повлиять невозможно
            {
             (string)$this->string=$string;
             $this->string=PREG_REPLACE("/[^\w- ]|INSERT|DELETE|UPDATE|UNION|SET|SELECT|TRUNCATE|DROP|TABLE/i","",$this->string);
             $this->string=TRIM($this->string);
             RETURN $this->string;
            }
 
      public function search($string) // Строка поиска с перекодировкой в Windows 1251
            {
             (string)$this->string=$string;
             $this->string=ICONV("utf-8","windows-1251",$this->string);
             $this->string=PREG_REPLACE("/[^\w- ]|INSERT|DELETE|UPDATE|UNION|SET|SELECT|TRUNCATE|DROP|TABLE/i","",$this->string);
             $this->string=TRIM($this->string);
             RETURN $this->string;
            }
      public function searchClear($string) // Строка поиска
            {
             (string)$this->string=$string;
             $this->string=PREG_REPLACE("/[^\w- ]|INSERT|DELETE|UPDATE|UNION|SET|SELECT|TRUNCATE|DROP|TABLE/i","",$this->string);
             $this->string=TRIM($this->string);
             RETURN $this->string;
            }
      public function ip($string) // IP - адрес
            {
             (string)$this->string=$string;
             $this->string=PREG_REPLACE("/[^\d\.]/i","",$this->string);
             $this->string=TRIM($this->string);
             RETURN $this->string;
            }
     }
?>

Немного поясню про кодировки. Здесь они мне необходимы, потому что этот класс я использовал для работы с XML и с технологией ajax, а JavaScript, как известно очень капризна в вопросе кодировок. Думаю, что без проблем разберёшься.

Ну а что касается безопасности запросов, то после работы выше изложенного класса лично я использую MYSQL_ESCAPE_STRING() ко всем переменным входящим в SQL-запрос.
Примерно так:

PHP
1
2
3
SELECT `news`  
FROM `".MYSQL_ESCAPE_STRING(TAB_NEWS_ALL)."`                                             
WHERE `newsId`=1"

Думаю, что тут тоже объяснять нечего.

Новые блоги и статьи Все статьи Все блоги /
PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Access VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .
Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .

@battrack 0 / 0 / 0 Регистрация: 17.02.2009 Сообщений: 34

	Вопрос по правильной подготовке данных для БД (экранирование, фильтрация и пр.)?? 08.02.2010, 13:42. Показов 3983. Ответов 2 Метки нет (Все метки) Здравствуйте! Разрабатывал, разрабатывал сайты и наконец пришел к такой проблеме: требуется написать функцию граммотной фильтрации данных, вводимых пользователем для дальнейшей их записи в бд. (Речь идет о php и mysql). Случай, казалось бы простейший: есть некая форма, которую пользователь заполняет, жмет "отправить", после чего данные записываются в БД. У меня был свой класс, который содержал две функции, в одной из которых я готовил передаваемые данные для записи в базу (экранировал спецсимволы, заменял html-теги, проверял на наличие "нежелательных" последовательностей (типа SELECT, INSERT, DELETE и т.д.), усекал длину). Т.е. данная функция готовила данные для записи в БД. Другая функция, делала все обратные операции, т.е. после извлечения данных из базы, эта функция приводила их к виду, подходящему для вывода на страничку. Все это хорошо работало до тех пор пока я не столкнулся с разработкой сайта на французском языке. Вот тогда то и всплыли баги. С буквами фран. алфавита (теми, которых нет в кириллице и латиннице, например всякие там е с засечкой сверху, или как она там называется...). Грубо говоря, преобразование данных перестало правильно работать. Затем еще нарисовалась проблема, когда я "обнаружил", что на некоторых хостингах работает автоматическое экранирование спецсимволов, например при передаче через POST, а на некоторых нет. Из-за этого тоже возникли определенные сложности с переносимостью кода. В общем всем этим я хотел подвести к такому вопросу: может кто посоветует как правильно организовать подготовку данных для БД и наоборот. А может еще лучше, кто даст готовые проверенные функции или классы?? 0

@FunDuck 692 / 383 / 51 Регистрация: 22.01.2009 Сообщений: 1,135
	08.02.2010, 15:56
	Попробуйте htmlspecialchars($text, ENT_QUOTES); 0

Вопрос по правильной подготовке данных для БД (экранирование, фильтрация и пр.)??

Решение