Безопасность входящих данных для LIKE (SQL)

@SiTH · Регистрация: 11.10.2008

Студворк — интернет-сервис помощи студентам

Большая просьба к опытными программистам, прокомментируйте мою функцию для фильтрования переменных, участвующих в поисковых SQL-запросах (LIKE)

$full_search_mode и $clear_tags - два факультативных параметра. Первый заменяет * на % (для нестрого поиска), второй - над переменной выполняет функцию strip_tags.

function A_ProtectSqlSearchParam($sql_param, $full_search_mode="", $clear_tags="")
{
if ($clear_tags==true) $sql_param=strip_tags($sql_param);

$sql_param=str_replace('\\','\\\\', $sql_param);
$sql_param=addCslashes($sql_param, '_%');

if ($full_search_mode==true) $sql_param=eregi_replace("\*", '%', $sql_param);

$sql_param=mysql_real_escape_string($sql _param);

if (strlen($sql_param)>3 and strlen($sql_param)<100) return $sql_param;
else return false;
}

@Ceran · 28.04.2009, 01:12

Лично я использую такую схему решения подобной проблемы:

PHP
1
2
3
4
5
6
7
function sql_param($string) 
            {
             (string)$string=$string;
             $string=PREG_REPLACE("/[^\w- ]|INSERT|DELETE|UPDATE|UNION|SET|SELECT|TRUNCATE|DROP|TABLE/i","",$string);
             $string=TRIM($string);
             RETURN $string;
            }

Ну и естественно любая переменная попадающая в SQL-запрос проходит через
MYSQL_ESCAPE_STRING($var)
А у тебя чё-то как-то мудрёно всё... ИМХО.

@SiTH · 28.04.2009, 16:06 **[ТС]**

Спасибо за ответ

Но в поисковом запросе есть нюансы с литералами - он-то меня и и интересует в первую очередь

@Ceran · 28.04.2009, 16:51

С какими конкретно литералами? Все исключения можно прописать в регулярку.

20.05.2011, 10:08

Сообщение от Ceran

Лично я использую такую схему решения подобной проблемы:

PHP
1
2
3
4
5
6
7
function sql_param($string) 
            {
             (string)$string=$string;
             $string=PREG_REPLACE("/[^\w- ]|INSERT|DELETE|UPDATE|UNION|SET|SELECT|TRUNCATE|DROP|TABLE/i","",$string);
             $string=TRIM($string);
             RETURN $string;
            }

Ну и естественно любая переменная попадающая в SQL-запрос проходит через
MYSQL_ESCAPE_STRING($var)
А у тебя чё-то как-то мудрёно всё... ИМХО.

А можешь объяснить зачем [^\w- ] - это не слово, знак минуса, пробел; То-есть исключаются из запроса все слова минусы и пробелы?

Добавлено через 17 минут
1) А можешь объяснить зачем [^\w- ] - это не слово, знак минуса, пробел; То-есть исключаются из запроса все не слова минусы и пробелы? А если это поле «texarea» - описание чего либо: порежет пунктуацию и вообще все символы, это ж плохо. Такую обработку можно применять разве что к $_GET[page] или $_GET[id], тоесть к "однословным" переменным отвечающим за навигацию по сайту и так далее... А с формовыми что же делать??? Допустим пользователь Англичанин, пишет "Я обновил гардероб", а в результате постуется "Я гардероб"

2) Неужели просто MYSQL_ESCAPE_STRING($var) не избавит от всех невзгод???

Новые блоги и статьи Все статьи Все блоги /
Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .	Загрузка PNG с альфа-каналом на SDL3 для Android: с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 28.01.2026 Содержание блога SDL3 имеет собственные средства для загрузки и отображения PNG-файлов с альфа-каналом и базовой работы с ними. В этой инструкции используется функция SDL_LoadPNG(), которая. . .	Загрузка PNG с альфа-каналом на SDL3 для Android: с помощью SDL3_image 8Observer8 27.01.2026 Содержание блога SDL3_image - это библиотека для загрузки и работы с изображениями. Эта пошаговая инструкция покажет, как загрузить и вывести на экран смартфона картинку с альфа-каналом, то есть с. . .	влияние грибов на сукцессию anaschu 26.01.2026 Бифуркационные изменения массы гриба происходят тогда, когда мы уменьшаем массу компоста в 10 раз, а скорость прироста биомассы уменьшаем в три раза. Скорость прироста биомассы может уменьшаться за. . .
Воспроизведение звукового файла с помощью SDL3_mixer при касании экрана Android 8Observer8 26.01.2026 Содержание блога SDL3_mixer - это библиотека я для воспроизведения аудио. В отличие от инструкции по добавлению текста код по проигрыванию звука уже содержится в шаблоне примера. Нужно только. . .	Установка Android SDK, NDK, JDK, CMake и т.д. 8Observer8 25.01.2026 Содержание блога Перейдите по ссылке: https:/ / developer. android. com/ studio и в самом низу страницы кликните по архиву "commandlinetools-win-xxxxxx_latest. zip" Извлеките архив и вы увидите. . .	Вывод текста со шрифтом TTF на Android с помощью библиотеки SDL3_ttf 8Observer8 25.01.2026 Содержание блога Если у вас не установлены Android SDK, NDK, JDK, и т. д. то сделайте это по следующей инструкции: Установка Android SDK, NDK, JDK, CMake и т. д. Сборка примера Скачайте. . .	Использование SDL3-callbacks вместо функции main() на Android, Desktop и WebAssembly 8Observer8 24.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .

@SiTH 4 / 4 / 0 Регистрация: 11.10.2008 Сообщений: 47
	28.04.2009, 16:06 [ТС]
	Спасибо за ответ Но в поисковом запросе есть нюансы с литералами - он-то меня и и интересует в первую очередь 0

@Ceran 172 / 101 / 10 Регистрация: 22.02.2009 Сообщений: 440
	28.04.2009, 16:51
	С какими конкретно литералами? Все исключения можно прописать в регулярку. 0