Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737
Форумы портала PHP.SU :: Защита от SQL инъекций

PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

Главная

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

Защита от SQL инъекций

Форумы портала PHP.SU » PHP » SQL и Архитектура БД (Модератор: SAD)

Страниц (2): [1] 2 »

Без описания

Поиск в теме | Версия для печати

xTODx	Отправлено: 13 Марта, 2015 - 20:55:16
Посетитель Покинул форум Сообщений всего: 282 Дата рег-ции: Янв. 2013 Откуда: Киев/Шостка Помог: 1 раз(а)	Всем доброго дня! Прежде всего, скажу что уже почитал много по этому поводу, но проблема вылезла, я ничего не понял. Сделал PHP: скопировать код в буфер обмена function strips(&$el) { if (is_array($el)) foreach($el as $k=>$v) strips($el[$k]); else $el = stripslashes($el); } if (get_magic_quotes_gpc()) { strips($_GET); strips($_POST); strips($_COOKIE); strips($_REQUEST); if (isset($_SERVER['PHP_AUTH_USER'])) strips($_SERVER['PHP_AUTH_USER']); if (isset($_SERVER['PHP_AUTH_PW'])) strips($_SERVER['PHP_AUTH_PW']); } в начале скрипта написал PHP: скопировать код в буфер обмена set_magic_quotes_runtime(0); - но оно выдало ошибку (Отредактировано автором: 13 Марта, 2015 - 21:00:19) ----- Был Ламером, пытался чему-то научится, спустя 2 года так и остался ламером.

Ts.Saltan	Отправлено: 13 Марта, 2015 - 21:05:37
Посетитель Покинул форум Сообщений всего: 384 Дата рег-ции: Дек. 2013 Откуда: Belarus Помог: 22 раз(а)	Зачем это всё? От инъекций спасут подготовленные выражения https://php.net/manual/ru/mysqli.prepare.php https://php.net/manual/ru/pdo.prepare.php

xTODx	Отправлено: 13 Марта, 2015 - 21:12:01
Посетитель Покинул форум Сообщений всего: 282 Дата рег-ции: Янв. 2013 Откуда: Киев/Шостка Помог: 1 раз(а)	Ts.Saltan пишет: Зачем это всё? От инъекций спасут подготовленные выражения https://php.net/manual/ru/mysqli.prepare.php https://php.net/manual/ru/pdo.prepare.php То есть нужно переделывать все запросы? (Добавление) Ts.Saltan пишет: Зачем это всё? От инъекций спасут подготовленные выражения https://php.net/manual/ru/mysqli.prepare.php https://php.net/manual/ru/pdo.prepare.php Можете показать пример? Есть такой вот запрос, в нём переменная $id. CODE (SQL): скопировать код в буфер обмена SELECT * FROM `block` WHERE `col`='{$id}' ORDER BY `pos` (Отредактировано автором: 13 Марта, 2015 - 21:16:33) ----- Был Ламером, пытался чему-то научится, спустя 2 года так и остался ламером.

OrmaJever	Отправлено: 13 Марта, 2015 - 21:30:37
Активный участник Покинул форум Сообщений всего: 7540 Дата рег-ции: Янв. 2010 Откуда: Чернигов Помог: 299 раз(а)	Господи 2015 год на дворе, а тут ещё заводят темы про sql иньекции. prepared statement и всё, забыли навсегда! я не удивлюсь если вы ещё mysql_query пользуетесь ----- Если вы хотя бы 3-4 раза не решите всё выкинуть и начать заново - вы явно что-то делаете не так.

xTODx	Отправлено: 13 Марта, 2015 - 21:48:40
Посетитель Покинул форум Сообщений всего: 282 Дата рег-ции: Янв. 2013 Откуда: Киев/Шостка Помог: 1 раз(а)	OrmaJever пишет: Господи 2015 год на дворе, а тут ещё заводят темы про sql иньекции. prepared statement и всё, забыли навсегда! я не удивлюсь если вы ещё mysql_query пользуетесь её самою. Тогда уж простите, скиньте ссылки на информацию, чтобы я стал на уровень выше в этом деле! Я понял что sql_execute нужно использовать, и связанные переменные, так? это решит все проблемы? (Отредактировано автором: 13 Марта, 2015 - 21:53:00) ----- Был Ламером, пытался чему-то научится, спустя 2 года так и остался ламером.

exlant	Отправлено: 13 Марта, 2015 - 22:52:24
Посетитель Покинул форум Сообщений всего: 425 Дата рег-ции: Февр. 2015 Помог: 14 раз(а)	библиотека mysql deprecated, в следующей версии php будет удалена! http://php.net/manual/ru/functio...ysql-connect.php сейчас используют mysqli и pdo, гуглятся легко. и про подготовленные запросы тоже погуглите! Инфы просто море на эти темы!

xTODx	Отправлено: 14 Марта, 2015 - 00:20:24
Посетитель Покинул форум Сообщений всего: 282 Дата рег-ции: Янв. 2013 Откуда: Киев/Шостка Помог: 1 раз(а)	exlant пишет: библиотека mysql deprecated, в следующей версии php будет удалена! http://php.net/manual/ru/functio...ysql-connect.php сейчас используют mysqli и pdo, гуглятся легко. и про подготовленные запросы тоже погуглите! Инфы просто море на эти темы! Спасибо, читаю! http://phpclub[dot]ru/detail/article/mysqli Вот такие вопросы, PHP: скопировать код в буфер обмена <?PHP $mysqli = new mysqli('localhost', 'user', 'password', 'world'); /* Проверка соединения / if (mysqli_connect_errno()) { printf("Подключение невозможно: %s\n", mysqli_connect_error()); exit(); } $stmt = $mysqli->prepare("INSERT INTO CountryLanguage VALUES (?, ?, ?, ?)"); $stmt->bind_param('sssd', $code, $language, $official, $percent); $code = 'DEU'; $language = 'Bavarian'; $official = "F"; $percent = 11.2; / выполнение подготовленного выражения / $stmt->execute(); printf("%d Row inserted.\n", $stmt->affected_rows); / Закрытие соединения и выражения/ $stmt->close(); / Очистить таблицу CountryLanguage / $mysqli->query("DELETE FROM CountryLanguage WHERE Language='Bavarian'"); printf("%d Row deleted.\n", $mysqli->affected_rows); / Закрыть подключение / $mysqli->close(); ?> А если у меня несколько значений, и я заранее не знаю сколько у меня будет ? в смысле мне нужно сделать функцию, в которую я буду передавать запрос, идентификаторы, и параметры. как быть с PHP:* скопировать код в буфер обмена stmt->bind_param('sssd', $param[1], $param[2]) ? Функция должна возвращать данные к тому-же. Раньше, в, как оказалось древней, CMS была функция с запросом PHP: скопировать код в буфер обмена function ret_set(){ $sql = "SELECT * from `set` LIMIT 0,1"; $res = $this->sql($sql); return $res; } и функция которая формировала массив с полученных данных PHP: скопировать код в буфер обмена function print_set() { $res = $this->ret_set() ; $row = mysql_fetch_assoc($res) ; return $row ; } } (Отредактировано автором: 14 Марта, 2015 - 09:57:28) ----- Был Ламером, пытался чему-то научится, спустя 2 года так и остался ламером.

exlant	Отправлено: 14 Марта, 2015 - 01:03:54
Посетитель Покинул форум Сообщений всего: 425 Дата рег-ции: Февр. 2015 Помог: 14 раз(а)	Цитата: А если у меня несколько значений, и я заранее не знаю сколько у меня будет ? в смысле мне нужно сделать функцию, в которую я буду передавать запрос, идентификаторы, и параметры. как быть с по вашей аналогии примерно так PHP: скопировать код в буфер обмена function refValues($arr){ // без этого метода работает не на всех версиях! if (strnatcmp(phpversion(),'5.3') >= 0) { //Если версия PHP >=5.3 (в младших версиях все проще) $refs = array(); foreach($arr as $key => $value) { $refs[$key] = &$arr[$key]; //Массиву $refs присваиваются ссылки на значения массива $arr } return $refs; //Массиву $arr присваиваются значения массива $refs } return $arr; //Возвращается массив $arr } function mysqli_request($array,$query){ if(!($stmt = self::$connect_db->prepare($query))){ trigger_error('Mysqli error: <b>'.self::$connect_db->error.'('.self::$connect_db->errno.')</b>!',E_USER_ERROR); } if(is_array($array)){ call_user_func_array(array($stmt,'bind_param'), $this->refValues($array)); } if(!$stmt->execute()) trigger_error('Not run execute: <b>'.$stmt->error.'('.$stmt->errno.')</b>!', E_USER_ERROR); $result = $stmt->get_result(); $stmt->close(); return $result; } function mysqli_get(){ $array = array('sssd', $param[1], $param[2]); $query = 'some query'; $result = $this->mysqli_request($array,$query) while($row = $result->fetch_assoc()){ $data[] = $row; } } как то так, я думаю что направление понятно!

GoDr	Отправлено: 14 Марта, 2015 - 07:00:12
Посетитель Покинул форум Сообщений всего: 446 Дата рег-ции: Янв. 2015 Откуда: Тамбов Помог: 17 раз(а)	xTODx пишет: А если у меня несколько значений, и я заранее не знаю сколько у меня будет ? Что значит неизвестное? Ты не знаешь структуру таблицы БД? И даже при таком подходе можно сформировать строку ключей с "вопросиками" и строку параметров ----- Система управления веб-содержимым Lotos CMS

xTODx	Отправлено: 14 Марта, 2015 - 09:50:29
Посетитель Покинул форум Сообщений всего: 282 Дата рег-ции: Янв. 2013 Откуда: Киев/Шостка Помог: 1 раз(а)	GoDr пишет: xTODx пишет: А если у меня несколько значений, и я заранее не знаю сколько у меня будет ? Что значит неизвестное? Ты не знаешь структуру таблицы БД? И даже при таком подходе можно сформировать строку ключей с "вопросиками" и строку параметров нет, я знаю стуктуру) но в эту функцию я буду передавать разные запросы! (Добавление) exlant пишет: по вашей аналогии примерно так как то так, я думаю что направление понятно! Можете пояснить пожалуйста PHP: скопировать код в буфер обмена if(!($stmt = self::$connect_db->prepare($query))){ trigger_error('Mysqli error: <b>'.self::$connect_db->error.'('.self::$connect_db->errno.')</b>!',E_USER_ERROR); } Немного не понял, что значит self::$connect_db->prepare($query) По идее нужно задать ещё и $connect_db? PHP: скопировать код в буфер обмена $connect_db = new mysqli('localhost', 'user', 'password', 'world'); Верно? А &(ссылка на переменную) это указатель(как в с++) на ячейку памяти, нет? в bind_param можно передать массив с помощью call_user_func_array, так? т.е. PHP: скопировать код в буфер обмена call_user_func_array('name_func', array("one","two")); аналог вызова PHP: скопировать код в буфер обмена name_func("one", "two"); Верно? Спасибо вам огромное, понял что ещё есть много неизведанного, и что всё, что я писал, сделано плохо (Отредактировано автором: 14 Марта, 2015 - 10:09:39) ----- Был Ламером, пытался чему-то научится, спустя 2 года так и остался ламером.

exlant	Отправлено: 14 Марта, 2015 - 10:22:01
Посетитель Покинул форум Сообщений всего: 425 Дата рег-ции: Февр. 2015 Помог: 14 раз(а)	Цитата: По идее нужно задать ещё и $connect_db? Ну да. self::$connect_db - статическая переменная в которой содержится объект подключения к базе Цитата: А &(ссылка на переменную) это указатель(как в с++) на ячейку памяти, нет? да. только в php это не так реализовано, как в c++! Цитата: в bind_param можно передать массив с помощью call_user_func_array, так? верно

xTODx	Отправлено: 14 Марта, 2015 - 10:50:13
Посетитель Покинул форум Сообщений всего: 282 Дата рег-ции: Янв. 2013 Откуда: Киев/Шостка Помог: 1 раз(а)	Написал я файл для подключения к базе PHP: скопировать код в буфер обмена <?PHP require_once "config.php" ; class Db extends Config { private $connection ; function __construct() { $this->open_connection() ; // сразу подключает к бд } private function open_connection() { $this->connection = new mysqli($this->DB_HOST, $this->DB_USER, $this->DB_PASS,$this->DB_NAME); if(!$this->connection) { die("Ошибка в подключении к БД:". mysql_error() ) ; } } function refValues($arr){ // без этого метода работает не на всех версиях! if (strnatcmp(phpversion(),'5.3') >= 0) { //Если версия PHP >=5.3 (в младших версиях все проще) $refs = array(); foreach($arr as $key => $value) { $refs[$key] = &$arr[$key]; //Массиву $refs присваиваются ссылки на значения массива $arr } return $refs; //Массиву $arr присваиваются значения массива $refs } return $arr; //Возвращается массив $arr } public function sql($query,$array) { if(!($stmt = $this->connection->prepare($query))){ trigger_error('Mysqli Ошибка: <b>'.$this->connection->error.'('.$this->connection->errno.')</b>!',E_USER_ERROR); } if(is_array($array)) call_user_func_array(array($stmt,'bind_param'), $this->refValues($array)); if(!$stmt->execute()) trigger_error('Not run execute: <b>'.$stmt->error.'('.$stmt->errno.')</b>!', E_USER_ERROR); $result = $stmt->get_result(); $stmt->close(); return $result ; } //функция которая будет выполнять заявки. } $db = new Db() ; /$this-> использует переменные с другого класса, mysql_error() - ошибки бд, команда установки кодировки если не вышло, вывести ("текст") mysql_query("set names utf8") or die ("set name utf8 failed") / ?> Вот, вроде разобрался, теперь начал переделывать запросы DB(работы мягко говоря валом). Если мне не нужно передавать массив, а в запросе нету внешних данных, можно сделать так? PHP: скопировать код в буфер обмена function ret_th(){ $sql = "SELECT `theme` from `set` LIMIT 0,1"; $res = $this->sql($sql, 0); $row = mysql_fetch_assoc($res) ; return $row['theme']; } Дальше вот такая вот вещь вылазит Цитата: Warning: mysql_fetch_assoc() expects parameter 1 to be resource, object given in [Путь тут] on line 6 функция $sql вернула не то, что нужно Вот что она возвращает PHP: скопировать код в буфер обмена mysqli_result Object ( [current_field] => 0 [field_count] => 1 [lengths] => [num_rows] => 1 [type] => 0 ) Изменил на PHP: скопировать код в буфер обмена function ret_th(){ $sql = "SELECT `theme` from `set` LIMIT 0,1"; $res = $this->sql($sql, 0); $row = $res->fetch_assoc ; return $row['theme']; } всё работает, спасибо, буду дальше копаться, если не затруднит, время-от времени пожалуйста заходите в тему, я нуждаюсь в вашей помощи! (Отредактировано автором: 14 Марта, 2015 - 11:14:34) ----- Был Ламером, пытался чему-то научится, спустя 2 года так и остался ламером.

GoDr	Отправлено: 14 Марта, 2015 - 11:20:45
Посетитель Покинул форум Сообщений всего: 446 Дата рег-ции: Янв. 2015 Откуда: Тамбов Помог: 17 раз(а)	xTODx, не поленись и просто прочитай. Всё по-русски, кратко, доступно, с примерами. Многие вопросы сами отпадут http://php[dot]net/manual/ru/book[dot]pdo.php ----- Система управления веб-содержимым Lotos CMS

xTODx	Отправлено: 14 Марта, 2015 - 11:27:32
Посетитель Покинул форум Сообщений всего: 282 Дата рег-ции: Янв. 2013 Откуда: Киев/Шостка Помог: 1 раз(а)	Сейчас вопрос такой, если одна строка то как быть с PHP: скопировать код в буфер обмена while($row = $res->fetch_assoc()){ $data[] = $row; } Так ведь? PHP: скопировать код в буфер обмена $row = $res->fetch_assoc() Результат - пуст fetch_array()?? так заработало, в чём отличие? (Отредактировано автором: 14 Марта, 2015 - 11:30:05) ----- Был Ламером, пытался чему-то научится, спустя 2 года так и остался ламером.

exlant	Отправлено: 14 Марта, 2015 - 11:52:41
Посетитель Покинул форум Сообщений всего: 425 Дата рег-ции: Февр. 2015 Помог: 14 раз(а)	Цитата: Дальше вот такая вот вещь вылазит Цитата: Warning: mysql_fetch_assoc() expects parameter 1 to be resource, object given in [Путь тут] on line 6 а при чем здесь вообще mysql? забудьте про mysql! mysql_error() - здесь тоже работать не будет! между fetch_assoc и fetch_array, разница точно такая я же, как и была в mysql! assoc помещает в ассоциативный массив, array помещает в два массива: обычный массив, и в ассоциативный(или в тот, который который указан в ключах)! Я обычно использую fetch_assoc, поэтому его и указал. а вообще [url]http://php.net/manual/ru/mysqli-....fetch-array.php [/url] там все есть

Поиск в теме | Версия для печати

Страниц (2): [1] 2 »

Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)

« SQL и Архитектура БД »

Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.