Это действительно код для защиты или это дыра?

@Риназ · Регистрация: 16.06.2017

Студворк — интернет-сервис помощи студентам

Всем привет! Один человек порекомендовал мне вставить код ниже, на мой сайт для защиты.

PHP
1
2
3
4
5
6
7
8
9
10
11
<?
if( !get_magic_quotes_gpc() ) {
foreach ($_POST as $key => $value) {
$_POST[$key] = addslashes($value);
}
 
foreach ($_GET as $key => $value) {
$_GET[$key] = addslashes($value);
}
}
?>

Это правда для защиты или наоборот для взлома?

@Para bellum · 17.02.2018, 09:56

Для защиты. Но решение не лучшее. Используйте подготовленные запросы PDO и не надо будет придумывать таких сложностей.

@Риназ · 17.02.2018, 10:09 **[ТС]**

Сообщение от Para bellum

Используйте подготовленные запросы PDO

Я еще новичок, поэтому не могли с примерами?
И код, что я написал, тоже годится? и был бы рад, если бы ответили что он конкретно делает(или запрещает делать)?

@Para bellum · 17.02.2018, 10:57

Сообщение от Риназ

Я еще новичок

Поэтому настоятельно рекомендую обращаться к официальной документации PHP: php.net/manual
Вот сама функция addslashes: http://php.net/manual/ru/function.addslashes.php

Сообщение от Риназ

не могли с примерами?

Пожалуйста:

PHP
1
2
3
4
5
6
7
8
9
10
/* Получаем переменную ID из GET
 *УСЛОВНО. Напрямую к $_GET лучше не обращаться. Тем более, если ID не будет, выдаст Notice. Но сейчас не об этом
 */
$id = $_GET['id'];
 
$stmt = $db->prepare('select name, surname from users where id = :id');
$stmt->bindValue(':id', $id);
 
# Выполняем запрос
$stmt->execute();

Сообщение от Риназ

что он конкретно делает(или запрещает делать)?

Там происходит обход массива $_POST и изменение в нём значений с помощью экранирования некоторых символов (по ссылке выше они описаны).
Запустите такой скрипт:

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
<?php
 
# Допустим, что это данные из $_POST
$data = [
    'name' => 'Имя"'
];
 
echo 'Это до:', PHP_EOL;
var_dump($data);
 
foreach ($data as $key => $value) {
    $data[$key] = addslashes($value);
}
 
echo 'Это после:', PHP_EOL;
var_dump($data);

И увидите отличие "До" от "После".

Добавлено через 1 минуту
В документации как раз написано:

Иногда функцию addslashes() некорректно пытаются использовать для предотвращения SQL-инъекций. Не делайте так. Вместо нее используйте подготовленные запросы или функции экранирования соответствующих расширений работы с базами данных.

Новые блоги и статьи Все статьи Все блоги /
Восстановить юзерскрипты Greasemonkey из бэкапа браузера damix 15.01.2026 Если восстановить из бэкапа профиль Firefox после переустановки винды, то список юзерскриптов в Greasemonkey будет пустым. Но восстановить их можно так. Для этого понадобится консольная утилита. . .	Изучаю kubernetes lagorue 13.01.2026 А пригодятся-ли мне знания kubernetes в России?	Сукцессия микоризы: основная теория в виде двух уравнений. anaschu 11.01.2026 https:/ / rutube. ru/ video/ 7a537f578d808e67a3c6fd818a44a5c4/	WordPad для Windows 11 Jel 10.01.2026 WordPad для Windows 11 — это приложение, которое восстанавливает классический текстовый редактор WordPad в операционной системе Windows 11. После того как Microsoft исключила WordPad из. . .
Classic Notepad for Windows 11 Jel 10.01.2026 Old Classic Notepad for Windows 11 Приложение для Windows 11, позволяющее пользователям вернуть классическую версию текстового редактора «Блокнот» из Windows 10. Программа предоставляет более. . .	Почему дизайн решает? Neotwalker 09.01.2026 В современном мире, где конкуренция за внимание потребителя достигла пика, дизайн становится мощным инструментом для успеха бренда. Это не просто красивый внешний вид продукта или сайта — это. . .	Модель микоризы: классовый агентный подход 3 anaschu 06.01.2026 aa0a7f55b50dd51c5ec569d2d10c54f6/ O1rJuneU_ls https:/ / vkvideo. ru/ video-115721503_456239114	Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ФедосеевПавел 06.01.2026 Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ВВЕДЕНИЕ Введу сокращения: аналоговый ПИД — ПИД регулятор с управляющим выходом в виде числа в диапазоне от 0% до. . .

@Para bellum 5755 / 4134 / 1508 Регистрация: 06.01.2011 Сообщений: 11,276
	17.02.2018, 09:56
	Для защиты. Но решение не лучшее. Используйте подготовленные запросы PDO и не надо будет придумывать таких сложностей. 0