Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [PHP]Zabezpieczenie przed SQL Injection
Forum PHP.pl > Forum > Przedszkole
robos85
1.10.2008, 12:25:36
Czy takie coś pozwoli mi się zabezpieczyć przed SQL Inj.. ?
[PHP] pobierz, plaintext 
  1. <?php
  2. function sqlesc($x) {
  3.     return mysql_real_escape_string($x);
  4. }
  5.  
  6. function strip_magic_quotes($arr)
  7. {
  8.     foreach ($arr as $k => $v){
  9.         if (is_array($v)){ 
  10.             $arr[$k] = strip_magic_quotes($v); 
  11.         }
  12.         else{ 
  13.             $arr[$k] = stripslashes($v); 
  14.         }
  15.     }    
  16.     return $arr;
  17. }
  18.  
  19. if (get_magic_quotes_gpc())
  20. {
  21.     if (!empty($_GET)) { $_GET = strip_magic_quotes($_GET); }
  22.     if (!empty($_POST)) { $_POST = strip_magic_quotes($_POST); }
  23.     if (!empty($_COOKIE)) { $_COOKIE = strip_magic_quotes($_COOKIE); }
  24. }
  25.  
  26.  
  27. // addslashes to vars if magic_quotes_gpc is off
  28. // this is a security precaution to prevent someone
  29. // trying to break out of a SQL statement.
  30. //
  31.  
  32. if( !get_magic_quotes_gpc() )
  33. {
  34.     if( is_array($_GET) ){
  35.         while( list($k, $v) = each($_GET) ) {
  36.             if( is_array($_GET[$k]) ){
  37.                 while( list($k2, $v2) = each($_GET[$k]) ){
  38.                     $_GET[$k][$k2] = addslashes($v2);
  39.                 }
  40.                 @reset($_GET[$k]);
  41.             }
  42.             else {
  43.                 $_GET[$k] = addslashes($v);
  44.             }
  45.         }
  46.         @reset($_GET);
  47.     }
  48.     
  49.     if( is_array($_POST) ){
  50.         while( list($k, $v) = each($_POST) ){
  51.             if( is_array($_POST[$k]) ){
  52.                 while( list($k2, $v2) = each($_POST[$k]) ){
  53.                     $_POST[$k][$k2] = addslashes($v2);
  54.                 }
  55.                 @reset($_POST[$k]);
  56.             }
  57.             else{
  58.                 $_POST[$k] = addslashes($v);
  59.             }
  60.         }
  61.         @reset($_POST);
  62.     }
  63.     
  64.     if( is_array($_COOKIE) ){
  65.         while( list($k, $v) = each($_COOKIE) ){
  66.             if( is_array($_COOKIE[$k]) ){
  67.                 while( list($k2, $v2) = each($_COOKIE[$k]) ){
  68.                     $_COOKIE[$k][$k2] = addslashes($v2);
  69.                 }
  70.                 @reset($_COOKIE[$k]);
  71.             }
  72.             else{
  73.             $_COOKIE[$k] = addslashes($v);
  74.             }
  75.         }
  76.         @reset($_COOKIE);
  77.     }
  78. }
  79. ?>
[PHP] pobierz, plaintext


a dodawanie/update do bazy robić tak:
[PHP] pobierz, plaintext 
  1. <?php
  2. "UPDATE ...... SET `cos`='".sqlesc($_GET['blabla']."'..."
  3. ?>
[PHP] pobierz, plaintext


wyświetlenie wyników już na stronę z htmlspecialchars" title="Zobacz w manualu PHP" target="_manual

i jak, takie coś może być?
skowron-line
1.10.2008, 12:27:08
Na forum jest cały temat poświęcony SQL injection poszukaj i poczytaj a nie bedziesz zadawał więcej takich pytań
MWL
1.10.2008, 12:29:26
Zadziała, ale dajesz tego za dużo, wystarczy samo mysql_real_escape_string
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.