Chcialbym sie dowiedziec jak najlepiej sie zabezpieczyc przed 'atakami' SQL Injection.
mam powiedzmy takie zapytanie do bazy mysql:

[sql:1:d1814ccdee]
select * from news WHERE nr = '$show'
[/sql:1:d1814ccdee]
I czy to wystarcza. Bo spotykalem sie z:



Dla mnie to jest niepotrzebne bo po 'testach' ktore przeprowadzilem moge powiedziec ze uzycje intval jest niepotrzebne bo w zapytaniu sql sa ' '.

Wiec potrzebne czy niepotrzebne, a jak np. $show to ma byc tekst a nie liczba to czy wystarcza '' czy trzeba jeszcze robic addslashes() itp.

te ' ' są wymagane przez mysql, a nie do zabezpieczenia przez sqlinjection
ŹŁe. Moze nie wymagane, ale potrzebne, bo jak np. pod zmienna $show bedzie wartość np. where a nie bedzie '' to ci wypluje bład
Przy wartościach numerycznych samo intval() wystarczy. Natomiast sprawa sie komplikuje przy stringach. :?

znalazlem cos na temat..

http://www.sitepoint.com/article/794

W przypadku MySQLa addslashes akurat jest w porządku, ale ogólnie to nie jest funkcja do tego. Korzystając z tej bazy lepiej uzywać funkcji mysql_escape_string gdyż służy ona właśnie do tych celów (mimo, iż robi praktycznie to samo co addslashes).
Poza tym w niektórych bazach (np. Sybase albo MSSQL) eskejpowanie polega na powieleniu eskejpowanego znaku, a nie poprzedzeniu go backslashem i wtedy addslashes nie tylko nie pomoże ale i zaszkodzi.

jak pod $show podstawimy where to wypluje blad ale wlasnie wtedy mozna uzyc tego bledu. A jak sa ' ' to mozna podstawiac do woli where union itp. i nie bedzie bledu. Czyli to jest zabezpieczenie...

Wiec tak:
ja uwazam ze ' ' wystarcza i nie potrzeba intval i mysql_escape_string czy addslashes bo ' ' nie da sie ominac.

Myle sie? To moze mi ktos udowodni ze da sie Np. przy:
SELECT * from news WHERE nr = '$show'
ominac to i dorzucic AND autor=tomasz.

Chyba troche nierozumiesz, a nwet wiecej niz troche
Zawsze pod $show mozna podstawić równiz apostrofy, tak aby sie wszystko zgadzało to nic trudnego
Podsumowując same wstawienie '$show' nie pomoże

Jeszcze nie dodalem ze mam ustawione magic_quotes_gpc na On.
Przy probie jakiegokolwiek dodania ' w $show beda bledy... Wiec mysle ze magic_quotes_gpc + '' w zupelnosci wystarcza.

a może ...

[php:1:2ddeae2699]<?php
(int)$_GET['show']
(int)$_POST['show']
?>[/php:1:2ddeae2699]

w przypadku np. stringa wartosc zmiennej wyniesie 0

Ale mi chodzi o to czy te intval czy (int) czy cokolwiek jest potrzebne.

Czy magic_quotes_gpc -> On + ' ' wystarcza. Ja uwazam ze wystarcza a jezeli nie to niech ktos pokaze na jakims przykladzie..

np. kiedy escapowanie prez magic_qutes rozni sie od wymaganego przez baze danych, jak dane do bazy pochodza np. z innego zapytania (czasem trzeba).

Generalnie uczy to lenistwa i predzej czy pozniej okaze sie ze nie zabezpieczysz sie gdzies w miejcu gdzie magic_quotes nie dociera i nawet nie bedziesz wiedzial co sie dzieje.

Co musze poprawić dodać aby ta funkcja była uniwersalna (powiedzmy ) i mógł ją używać do wsyzstkich danych z POST

Mam do wrzucania do bazy danych dużo pól tekstowych.


[php:1:fbcaa27055]<?php
function czysc($czysc) {
$czysc = mysql_escape_string($czysc);
$czysc = stripslashes(trim($czysc));
$czysc = nl2br($czysc);
return $czysc;
}
$kod= czysc($_POST["kod"]);
...
...

$klery= "INSERT INTO dziadek VALUES (0,"".$kod.""";
$rezultat= mysql_query($klery) or die(mysql_error());
?>[/php:1:fbcaa27055]