SQL-инъекции

Есть путь типа site.ru/blogs/name_page
Вопрос каким способом исключить иньекции меня интересует 100% способ и быстрый.
У меня два варианта.
1. Регулярные выражения
2. Хранить хеш названия. И вести поиск по хешам названий.

И как в этот путь вставить sql-инъекцию?

Такой адрес через htaccess перенаправляется и обрабатывается и после передается на модуль а тот пытается найти страницу в базах данных

Кажется, вы просто не понимаете, что такое sql-инъекция. Проверяйте входные параметры get и post-запросов и приводите к нужному типу. intval для чисел и mysql_real_escape_string для строк.

sql-инъекции я понимаю.
mysql_real_escape_string не полностью подойдет.
Например
есть пареманная $page_name
есть запрос типа SELECT * FROM `pages` WHERE `page_name`=$page_name;
как лучше по скорости сделать.
preg_match - проверять подходит мне ли название.
или
сделать так $md5_page = md5($page_name)
а в базе данных хранить хеш
SELECT * FROM `pages` WHERE `md5_page`=$md5_page;
мне очень интересно именно скорость выполнения хеширования и проверка регулярных выражений

Почему? Она именно для этого и предназначена и инъекция не сработает. И работать скорей всего будет быстрее всех.


зациклите все 3 варианта итераций этак на 10^5 и померьте microtime
а регулярка проиграет str_replace

-----
PostgreSQL DBA

Возможность проведения SQL-инъекции может предоставляться только в тех случаях - когда для исходной строковой констаны формирующей основной шаблон происходит неправильное трактования уровня интерполируемых информационных полей - для обеспечения этого необходимо производить покомпонентное шифрование и использовать сверху кодовых таблмц Кроме того если вы осуществляете предварительную проверку поступающей информации с помощью регулярного выражения - то для увеличения безопасности желательно обеспечить его разрешительный характер - в таком случае если представления поступающих данных во внутренней кодировки будет допустимо то оно по своей сути будет явлвться набором разрененных символов - благодаря чему никакие запрещенные элементы не передаются через фильтр - однако необходимо огранизовывать дополнительное соответствие кодовых таблиц сервера приложений и соединения с СУБД

-----
Сделать можно все что угодно - нужно только старание, терпение и хороший поисковик
Безлимитный web-хостинг от 15 рублей за 40 МБ дискового пространства - http://ihost[dot]oks71[dot]ru/

И в чем же тут пример?

htaccess файл переадресует все запросы (кроме на файлы) на index.php в корне.
После создает допустим переменную $page_name и другие которые возьмет с запроса.
Типо с $_SERVER['QUERY_STRING'].
Так как запрос делает пользователь то от туда может быть sql инъекция.
Вот и проблема с помощью чего сделать быструю обработку исключения инъекций.
Мне кажется что хеш это самое быстрое решения хоть и требует дополнительное место в базе данных. В крайнем случае я так думаю. Позже буду проводить эксперимент. Интересно узнать ваше мнение.

-----
PostgreSQL DBA

mysql_real_escape_string подходит только я в ней как то не уверен.
+ вернее всего лучше сделать еще проверку до запроса к базе данных чтобы исключить лишний запрос.
mysql_real_escape_string что то вообще о нем сразу не вспомнил. Звиняюсь и сразу про нее не так подумал. Как говорится тупанул так тупанул.
Прочитал пост http://forum.php.su/topic.php?fo...1&topic=1701 понравился вслед буду передерживаться . Извиняюсь за отнятое время.

(Отредактировано автором: 03 Октября, 2010 - 00:44:14)

После совершения пользователем отправки запроса к вашему web-сайту и получения в обрабатывающем приложении информационных параметров - производится их сохранеие в отдельном уровне представления в силу чего они не могут никаким образом влять отрицательно на безопасность программы Искомый вопрос появляется в том случае когда значения полученных информационных полей используются в генерируемом коде - который в дальнейшем представляется в исполняемом виде - тем не менее при определении фактора кодирования для генерируемого кода возможно с абсолютной точностью произвести зашиту системы от любых пользовательских данных

-----
Сделать можно все что угодно - нужно только старание, терпение и хороший поисковик
Безлимитный web-хостинг от 15 рублей за 40 МБ дискового пространства - http://ihost[dot]oks71[dot]ru/

Здравствуйте!
У меня вот какой вопрос.
От инъекций обрабатывать я должен переменную каторой уже это значение присвоено или до присвоения.

$peremennaja=$_POST['pole'];
$peremennaja = trim($peremennaja);
$peremennaja = mysql_real_escape_string($peremennaja);
$peremennaja = htmlspecialchars($peremennaja);

ИЛИ

$peremennaja=trim ($_POST['pole'];
$peremennaja= mysql_real_escape_string($_POST['pole'];
$peremennaja= htmlspecialchars($_POST['pole'];


Или может как то ещё иначе???

ytrewq123 мне кажется вы опоздали на 4 года, сейчас есть mysqli/pdo и prepare statment

-----
Если вы хотя бы 3-4 раза не решите всё выкинуть и начать заново - вы явно что-то делаете не так.