Это действительно код для защиты или это дыра?

@Риназ · Регистрация: 16.06.2017

Всем привет! Один человек порекомендовал мне вставить код ниже, на мой сайт для защиты.

PHP

<?
if( !get_magic_quotes_gpc() ) {
foreach ($_POST as $key => $value) {
$_POST[$key] = addslashes($value);
}
 
foreach ($_GET as $key => $value) {
$_GET[$key] = addslashes($value);
}
}
?>

Это правда для защиты или наоборот для взлома?

Para bellum · 17.02.2018, 09:56

Для защиты. Но решение не лучшее. Используйте подготовленные запросы PDO и не надо будет придумывать таких сложностей.

@Риназ · 17.02.2018, 10:09 **[ТС]**

Сообщение от Para bellum

Используйте подготовленные запросы PDO

Я еще новичок, поэтому не могли с примерами?
И код, что я написал, тоже годится? и был бы рад, если бы ответили что он конкретно делает(или запрещает делать)?

Para bellum · 17.02.2018, 10:57

Сообщение от Риназ

Я еще новичок

Поэтому настоятельно рекомендую обращаться к официальной документации PHP: php.net/manual
Вот сама функция addslashes: http://php.net/manual/ru/function.addslashes.php

Сообщение от Риназ

не могли с примерами?

Пожалуйста:

PHP

/* Получаем переменную ID из GET
 *УСЛОВНО. Напрямую к $_GET лучше не обращаться. Тем более, если ID не будет, выдаст Notice. Но сейчас не об этом
 */
$id = $_GET['id'];
 
$stmt = $db->prepare('select name, surname from users where id = :id');
$stmt->bindValue(':id', $id);
 
# Выполняем запрос
$stmt->execute();

Сообщение от Риназ

что он конкретно делает(или запрещает делать)?

Там происходит обход массива $_POST и изменение в нём значений с помощью экранирования некоторых символов (по ссылке выше они описаны).
Запустите такой скрипт:

PHP

<?php
 
# Допустим, что это данные из $_POST
$data = [
    'name' => 'Имя"'
];
 
echo 'Это до:', PHP_EOL;
var_dump($data);
 
foreach ($data as $key => $value) {
    $data[$key] = addslashes($value);
}
 
echo 'Это после:', PHP_EOL;
var_dump($data);

И увидите отличие "До" от "После".

Добавлено через 1 минуту
В документации как раз написано:

Иногда функцию addslashes() некорректно пытаются использовать для предотвращения SQL-инъекций. Не делайте так. Вместо нее используйте подготовленные запросы или функции экранирования соответствующих расширений работы с базами данных.

Para bellum 4399 / 3277 / 1067 Регистрация: 06.01.2011 Сообщений: 9,449
	17.02.2018, 09:56	2
	Для защиты. Но решение не лучшее. Используйте подготовленные запросы PDO и не надо будет придумывать таких сложностей. 0

@Риназ 12 / 2 / 2 Регистрация: 16.06.2017 Сообщений: 532
	17.02.2018, 10:09 [ТС]	3
	Сообщение от Para bellum Используйте подготовленные запросы PDO Я еще новичок, поэтому не могли с примерами? И код, что я написал, тоже годится? и был бы рад, если бы ответили что он конкретно делает(или запрещает делать)? 0

Опции темы