Форум программистов, компьютерный форум, киберфорум
PHP: базы данных
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.94/16: Рейтинг темы: голосов - 16, средняя оценка - 4.94
0 / 0 / 0
Регистрация: 17.02.2009
Сообщений: 34
1

Вопрос по правильной подготовке данных для БД (экранирование, фильтрация и пр.)??

08.02.2010, 13:42. Просмотров 3125. Ответов 2
Метки нет (Все метки)

Здравствуйте!

Разрабатывал, разрабатывал сайты и наконец пришел к такой проблеме: требуется написать функцию граммотной фильтрации данных, вводимых пользователем
для дальнейшей их записи в бд. (Речь идет о php и mysql).
Случай, казалось бы простейший: есть некая форма, которую пользователь заполняет, жмет "отправить", после чего данные записываются в БД.
У меня был свой класс, который содержал две функции, в одной из которых я готовил передаваемые данные для записи в базу (экранировал спецсимволы,
заменял html-теги, проверял на наличие "нежелательных" последовательностей (типа SELECT, INSERT, DELETE и т.д.), усекал длину). Т.е. данная функция готовила
данные для записи в БД. Другая функция, делала все обратные операции, т.е. после извлечения данных из базы, эта функция приводила их к виду,
подходящему для вывода на страничку.
Все это хорошо работало до тех пор пока я не столкнулся с разработкой сайта на французском языке. Вот тогда то и всплыли баги. С буквами
фран. алфавита (теми, которых нет в кириллице и латиннице, например всякие там е с засечкой сверху, или как она там называется...). Грубо говоря,
преобразование данных перестало правильно работать. Затем еще нарисовалась проблема, когда я "обнаружил", что на некоторых хостингах
работает автоматическое экранирование спецсимволов, например при передаче через POST, а на некоторых нет. Из-за этого тоже возникли определенные
сложности с переносимостью кода.

В общем всем этим я хотел подвести к такому вопросу: может кто посоветует как правильно организовать подготовку данных для БД и наоборот. А может
еще лучше, кто даст готовые проверенные функции или классы??
0
Лучшие ответы (1)
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
08.02.2010, 13:42
Ответы с готовыми решениями:

Не появляется автоматически код ДЕТИ в подготовке данных для ПФР в УПП
Здравствуйте! Сформировала отчет в ПФР обработкой "Подготовка данных для передачи в ПФР" в УПП....

Вопрос по правильной перелинковке сайтов.
Всем доброе время суток! У меня возникло желание сделать сетку сайтов, но в вопросе перелинковки...

Нужна помощь в подготовке к экзамену. Темы: файлы, динамические структуры данных
Нужна хелпа к экзамену в институт Вопрос такой: Файлы;динамические структуры...

книжки для подготовке к майкрософтным тестам по VB6
всем привет! подскажите плиз книжки именно для подготовке к майкрософтным тестам по VB6: MCP -...

2
692 / 383 / 51
Регистрация: 22.01.2009
Сообщений: 1,135
08.02.2010, 15:56 2
Попробуйте htmlspecialchars($text, ENT_QUOTES);
0
172 / 99 / 9
Регистрация: 22.02.2009
Сообщений: 440
08.02.2010, 21:31 3
Лучший ответ Сообщение было отмечено battrack как решение

Решение

Посмотри моё изобретение. Если и не поможет как ты ожидаешь, может натолкнёт на какие-то мысли.
Класс по сути простой, но очень эффективный (с моей точки зрения). Писал для себя пару лет назад.
PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
<?php
// ПРОВЕРКА ВВОДИМЫХ ДАННЫХ /////////////////////////////////////
class check
     {
      public function digit($num) // Числа
            {
             (int)$this->num=$num;
             $this->num=PREG_REPLACE("/[^\d]/i","",$this->num);
             RETURN $this->num;
            }
 
      public function input($string) // Строки c перекодировкой текста из UTF8 в WINDOWS-1251
            {
             (string)$this->string=$string;
             $this->string=ICONV("utf-8","windows-1251",$this->string);
             $this->string=PREG_REPLACE("/[^\w-:\!\?\(\),\. ]|INSERT|DELETE|UPDATE|UNION|SET|SELECT|TRUNCATE|DROP|TABLE/i","",$this->string);
             $this->string=TRIM($this->string);
             RETURN $this->string;
            }
 
      public function inputClear($string) // Строки без перекодировки
            {
             (string)$this->string=$string;
             $this->string=PREG_REPLACE("/[^\w-:\!\?\(\),\. ]|INSERT|DELETE|UPDATE|UNION|SET|SELECT|TRUNCATE|DROP|TABLE/i","",$this->string);
             $this->string=TRIM($this->string);
             RETURN $this->string;
            }
 
      public function textarea($string) // Многостроковые текстовые поля c перекодировкой текста из UTF8 в WINDOWS-1251
            {
             (string)$this->string=$string;
             $this->string=ICONV("utf-8","windows-1251",$this->string);
             $this->string=PREG_REPLACE("/[^\w-:\!\?\(\),\.\n ]|INSERT|DELETE|UPDATE|UNION|SET|SELECT|TRUNCATE|DROP|TABLE/i","",$this->string);
             $this->string=PREG_REPLACE("/([\r]?\n)/i","\n",$this->string);
             $this->string=TRIM($this->string);
             if($this->string!=="")
               {
                $stringArray=EXPLODE("\n",$this->string);
                for($i=0;$i<=COUNT($stringArray);$i++)
                   {
                    if($stringArray[$i])  { $textarea[]=PREG_REPLACE("/\s+/"," ",$stringArray[$i]); }
                   }
                $this->string = IMPLODE("\n",$textarea);
               }
             $this->string=TRIM($this->string);
             RETURN $this->string;
            }
 
      public function textareaClear($string) // Многостроковые текстовые поля  без перекодировки
            {
             (string)$this->string=$string;
             $this->string=PREG_REPLACE("/[^\w-:\!\?\(\),\.\n ]|INSERT|DELETE|UPDATE|UNION|SET|SELECT|TRUNCATE|DROP|TABLE/i","",$this->string);
             $this->string=PREG_REPLACE("/([\r]?\n)/i","\n",$this->string);
             $this->string=TRIM($this->string);
             if($this->string!=="")
               {
                $stringArray=EXPLODE("\n",$this->string);
                for($i=0;$i<=COUNT($stringArray);$i++)
                   {
                    if($stringArray[$i])  { $textarea[]=PREG_REPLACE("/\s+/"," ",$stringArray[$i]); }
                   }
                $this->string = IMPLODE("\n",$textarea);
               }
             $this->string=TRIM($this->string);
             RETURN $this->string;
            }
 
      public function mail($string)  // Проверка e-mail на корректность
            {
             (string)$this->string=$string;
             $this->string=PREG_REPLACE("/[^\w-@\.]|INSERT|DELETE|UPDATE|UNION|SET|SELECT|TRUNCATE|DROP|TABLE/i","",$this->string);
             if(PREG_MATCH("/[0-9a-z_-]+@[0-9a-z_\-^\.]+\.[0-9a-z]{2,3}/i",$this->string)?$this->string=$this->string:$this->string=NULL);
             RETURN $this->string;
            }
 
      public function word($string) // Любой текст, как правило отправляемый приложением, например, как дополнитеьный параметр в функцию, на который извне повлиять невозможно
            {
             (string)$this->string=$string;
             $this->string=PREG_REPLACE("/[^\w- ]|INSERT|DELETE|UPDATE|UNION|SET|SELECT|TRUNCATE|DROP|TABLE/i","",$this->string);
             $this->string=TRIM($this->string);
             RETURN $this->string;
            }
 
      public function search($string) // Строка поиска с перекодировкой в Windows 1251
            {
             (string)$this->string=$string;
             $this->string=ICONV("utf-8","windows-1251",$this->string);
             $this->string=PREG_REPLACE("/[^\w- ]|INSERT|DELETE|UPDATE|UNION|SET|SELECT|TRUNCATE|DROP|TABLE/i","",$this->string);
             $this->string=TRIM($this->string);
             RETURN $this->string;
            }
      public function searchClear($string) // Строка поиска
            {
             (string)$this->string=$string;
             $this->string=PREG_REPLACE("/[^\w- ]|INSERT|DELETE|UPDATE|UNION|SET|SELECT|TRUNCATE|DROP|TABLE/i","",$this->string);
             $this->string=TRIM($this->string);
             RETURN $this->string;
            }
      public function ip($string) // IP - адрес
            {
             (string)$this->string=$string;
             $this->string=PREG_REPLACE("/[^\d\.]/i","",$this->string);
             $this->string=TRIM($this->string);
             RETURN $this->string;
            }
     }
?>
Немного поясню про кодировки. Здесь они мне необходимы, потому что этот класс я использовал для работы с XML и с технологией ajax, а JavaScript, как известно очень капризна в вопросе кодировок. Думаю, что без проблем разберёшься.

Ну а что касается безопасности запросов, то после работы выше изложенного класса лично я использую MYSQL_ESCAPE_STRING() ко всем переменным входящим в SQL-запрос.
Примерно так:

PHP
1
2
3
SELECT `news`  
FROM `".MYSQL_ESCAPE_STRING(TAB_NEWS_ALL)."`                                             
WHERE `newsId`=1"
Думаю, что тут тоже объяснять нечего.
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
08.02.2010, 21:31

Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь.

Помогите найти книжку-сабж для подготовке к экзамену SCWCD
Господа, помогите найти книжку-сабж для подготовке к экзамену SCWCD. Бумажный вариант весит около 3...

Построить изображение правильной правильной треугольной призмы, описанной около шара
Доброго дня! Помогите, пожалуйста, с задачей из раздела &quot;пространственных фигур в параллельной...

Экранирование слешей для ex
Доброго времени суток! Проблема следующая - нужно в файле заменить строку 'usr/local' на...

Экранирование ссылки для IE
Всем привет. Такое дело: есть кусок кода, который в хроме и фаерфоксе работает нормально, в IE -...

Кавычки для имен и их экранирование
В MySql и sqlite имена требуется заключать в косую одинарную кавычку (`), а экранировать её в...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
3
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2020, vBulletin Solutions, Inc.