Forum PHP.pl > Dane z formularza a polecenie LIKE

Pomoc - Szukaj - Użytkownicy - Kalendarz

Pełna wersja: Dane z formularza a polecenie LIKE

Haczyk67

28.03.2009, 16:11:05

Pobieram dane z formularza i wykorzystuję je do wykonania zapytania do MySQL z poleceniem LIKE '%$dane_z_formularza%'.

Wyczytałem że mysql_real_escape_string nie zabezpiecza przed atakiem SQL Injection z użyciem znaków %. Intruz może dopisać '%' w formularzu i wykonać wpisane przez siebie polecenie. Nie mogę usunąć '%' z zapytania bo takie znaki też mogą się znaleść w bazie. Jak zabezpieczyć się przed tym?

Maciekbjw

28.03.2009, 16:21:06

Znany problem

Rozwiązań masz kilka

Kiedyś użyłem chyba czegoś takiego:

[PHP] pobierz, plaintext 
<?php
  if(!preg_match('/%/',$_POST['fraza']))
      {
 
         //tutaj zapytanie SQL
      }
   else {
          //nie wykona zapytania 
}
 
?>
[PHP] pobierz, plaintext

Niemniej można to też inaczej rozwiązać.

Haczyk67

29.03.2009, 10:32:48

Hm nie do końca o takie rozwiązanie mi chodzi. Przecież fraza może być np. "50%". Dlaczego mam nie wykonywać zapytania tylko dlatego że ktoś wpisał %? Jak to inaczej rozwiązać?

Fifi209

29.03.2009, 10:52:12

Ja nie widzę problemu przy zapisie %
możesz go zapisać jako np. {$37$}

i stworzyć prosty parser takich znaków ;d

a wyświetlisz go potem:
chr(37);

Haczyk67

29.03.2009, 11:06:03

Widzę że Google ignoruje %

http://www.google.pl/search?hl=pl&q=50...=Szukaj&lr=

chyba też tak zrobię ;P

mls

29.03.2009, 13:24:23

[PHP] pobierz, plaintext 
<?php
$dane_z_formularza = str_replace('%', '%%', $dane_z_formularza);
?>
[PHP] pobierz, plaintext

przed przekazaniem do zapytania SQL...

Haczyk67

29.03.2009, 13:44:55

Rozumiem że %% działa na tej samej zasadzie co // , tak?

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.