sql инъекция

как от нее оградиться? достаточно простой проверки на недопустимые символы в водимой строке?
если есть готовый код поделитесь??? (неохота на это отвлекаться...)
))

нельзя на такие вещи "не отвлекаться"....
иначе наберете косяков много.

все данные, которые вы получаете "из вне" - через куки, GET или POST надо проверять. иначе будут проблемы с верностью работы сайта или данными..

как последняя стадия - нужно проверять все функцией mysql_real_escape_string или аналогом mysql_escape_string
а перед этим ваши проверки должны быть, в зависимости от того, какие данные вы ждете от пользователя... но проверять нужно все получаемые данные!!!
например проверка на число, строку (мыло, логины) или тексты...
размеры (скока символов) и проверка не недопустимые символы..

ну вот как то так =)

(Отредактировано автором: 26 Декабря, 2009 - 11:48:36)

-----
о великий nl2br!
Хочешь невероятных ощущений? Юзай блокнот! Блокнот - чудеса сбываются!
Чем меньше вы знаете PHP - тем ценнее мои знания!

Еще не лишним будет ограничить пользователя, под которым конектишься к базе, минимально необходимым набором прав.

Кхм, всем привет, давно пользуюсь вашим сайтом, решил хоть на форуме регнуться)

Честно говоря с недавних пор тоже начал волновать вопрос по поводу инъекций. С GET-числовыми запросами у мну никаких проблем нет, а вот со страницей регистрации очень опасаюсь. Кто нибудь скажет, достаточно ли обрабатывать данные с помощью mysql_real_escape_string?

читайте мой пост выше. если не поможет - можно еще раз... если уж и снова не поможет - поищите еще похожие темы... их было много.


права, как таковые влияют на функционал. напрямую доступ к базе я нигде не делаю например... глупо и опасно имхо

-----
о великий nl2br!
Хочешь невероятных ощущений? Юзай блокнот! Блокнот - чудеса сбываются!
Чем меньше вы знаете PHP - тем ценнее мои знания!

Но и права полезно ограничивать, т.к. к субд доступ можно получить не только от вами написанного скрипта, и взломать можно не только скрипт, но и сам http-сервер, или любой другой сервис, смотрящий наружу. И вот тогда, чтобы не потерять базу, нужно ограничивать пользователя базы в правах, т.к. его логин и пароль - в скриптах, у которых права на чтение, зачастую, есть для всех.

-----
PostgreSQL DBA

Вездеход
а нельзя ограничиься просто проверкой на недопустимые символы (именно как защита от инъекций) ??

Основная идея защиты от инъекций, это что бы в параметры запроса не попадал SQL - код.
А если бы и попадал то представлялся серверу как параметр - строка, а не часть SQL запроса.
Т.е. проверять надо что бы пользователь, например в поле
Name не вводил строки вида "44'; DROP MyTable;"

Так же никогда не выводить пользователю результаты функции mysql_error();

Phantik
вот про это я и спрашиваю, ведь в запросе всегда присутствуют определенные символы..просто запретить их ввод пользователю и все..

А если пользователь хочет никнейм O'Konnor ? Не надо символы запрещать, просто через функции, которые тебе выше привели, прогоняй данные.

Champion
вот теперь осознал приемущество этих функций..я только с ними не совсем разобрался..результат возвращаемый функцией будет безопасной для скрипта строкой? я правильно понял?

Да. Все строковые вещи, которые ты вносишь в базу прогоняй через эти функции. Цифры достаточно просто обработать (int), intval()...

Champion
спс)) все понял..

Да, тож благодарю за консультацию) С числовыми данными пока так и делаю, а вот со string постоянно какое-то недоверие.
А ещё где-то я читал что якобы никогда не рассчитывайте на магические скобки, они не помогут. Неужели это правда?

Это правда.
И не скобки, а кавычки.

-----
Truly yours, Sasha.