Forum PHP.pl

Jakimi funkcjami powinno się przepuszczać dane z formularza, które później lecą do bazy? Czy zapis:

[PHP] pobierz, plaintext 
htmlspecialchars(trim($zmienna))
[PHP] pobierz, plaintext 

to zły zapis? wiem, że jest coś takiego jak mysql_real_escape() i inne, bo czytałem w necie i ktoś własnie użył sformułowania i inne. I dlatego pytam, jakie inne funkcje pomogą jeszcze przy filtracji danych? Jak jest najbezpieczniej filtrować dane?

Przepuszczać przez preg_match, filter_vars, rzutować typy. mysql_* sobie odpuść na rzecz PDO i bindowania parametrów. W jaki sposób wycięcie białych znaków miało by pomóc?

Najlepiej żadnymi. A jeśli już, to specjalnie do tego przeznaczonymi.

Jeśli będziesz używał rozszerzenia PDO, to możesz w ogóle zapomnieć o filtrowaniu i spokojnie spać. Za pomocą tzw. prepared statements możesz wysłać dane bezpośrednio z formularza do bazy nie martwiąc się, czy dane - intencjonalnie lub nieintencjonalnie - zawierają potencjalnie niebezpieczne znaki lub kod:

[PHP] pobierz, plaintext 
$dbh = new PDO('mysql:host=localhost;dbname=test', $user, $pass);
$zapytanie = $dbh->prepare("INSERT INTO `moja_tabela`(`pole1`, `pole2`) VALUES (:zmienna1, :zmienna2)");
$zapytanie->bindParam(':zmienna1', $_POST['zmienna_1']);
$zapytanie->bindParam(':zmienna2', $_POST['zmienna_2']);
$zapytanie->execute();
[PHP] pobierz, plaintext 

W ten sposób dane podane przez użytkownika znajdą się w tabeli w takiej formie, w jakiej zostały podane przez użytkownika, nie wpływając w żaden sposób na konstrukcję samego zapytania. Inaczej mówiąc, PDO uniemożliwia przeprowadzanie ataków SQL Injection.

Rozszerzenie PDO jest rekomendowane do obsługi połączeń z bazą danych w przypadku PHP 5.*. Jeśli używasz starszych wersji PHP, to filtrowanie danych z formularzy możesz prosto załatwić jedną funkcją rozszerzenia mysqli - mysqli_real_escape_string:

[PHP] pobierz, plaintext 
$dbh = mysqli_connect("localhost", $user, $password, "test");
$zmienna1 = mysqli_real_escape_string($dbh, $_POST['zmienna_1']);
$zmienna2 = mysqli_real_escape_string($dbh, $_POST['zmienna_2']);
mysqli_query($dbh, "INSERT INTO `moja_tabela`(`pole1`, `pole2`) VALUES ('$zmienna1', '$zmienna2')")
[PHP] pobierz, plaintext 

Funkcja mysqli_real_escape_string jest specjalnie przeznaczona do filtrowania łańcuchów używanych w zapytaniach SQL.

Zapis, który podałeś jest zły bo:

1. Używa funkcji nieprzeznaczonych do filtrowania łańcuchów w zapytaniach SQL,
2. Zmienia wartość danych przesyłanych przez użytkownika.

Co do 1 - już wiesz, o co chodzi. Co do 2 - nie chcemy zmieniać danych użytkownika. Chcemy, żeby te dane nie były niebezpieczne. Najlepiej zapisywać dane tak, jak są podane i formatować je na wyjściu. Formatowanie wejścia oznacza dodatkowe problemy przy formatowaniu wyjścia.

@bostaf: Przecież mysqli wspiera prepared statements, po co się babrać z ręcznym sklejaniem zapytań.

Ten post edytował Crozin 14.05.2012, 21:54:54

@Crozin No racja. Też bym takiego babrania nikomu nie polecał. Ale ze względów edukacyjnych dobrze wspomnieć o takich metodach. Zwłaszcza, że może przyjść czas, że taka wiedza się przyda. A każdy moment jest dobry, żeby czegoś nowego albo starego się nauczyć.

Dlatego są zazwyczaj 2 etapy przygotowania danych: filtracja i walidacja. Filtracja na wstępie eliminuje niepożądane znaki (czyli tutaj idealnym przykładem może być właśnie trim), walidacja sprawdza ich poprawność. Dopiero po tym dane wrzucamy do bazy.