[PHP][MSSQL]Filtrowanie zapytan do mssql

[PHP][MSSQL]Filtrowanie zapytan do mssql

Nh2003 Zobacz profil	8.08.2008, 13:12:39 Post #1
Grupa: Zarejestrowani Postów: 81 Pomógł: 14 Dołączył: 3.10.2007 Ostrzeżenie: (0%)	Witam Mam problem tego typu - mam stworzony obiekt do obslugi zapytan do bazy danych mssql. Najczesciej uzywana jest funkcja query(), ktora wykonuje podane do niej zapytanie. Teraz pojawia sie problem - mam napisane bardzo duzo aplikacji w ktorych nie mam mozliwosci wprowadzic filtrowania pobieranych znakow. Potrzebowalbym filtrowac to co jest przekazywane do funkcji query(). Przedewszystkim chodzi mi o zablokowanie mozliwosci wstrzykniecia komend drop database, drop table, create table. Zapytania ktore wedruja do tej funkcji maja rozna postac - raz jest to zwykly select, innym razem jest to select z joinem itp. Ogolnie zasada jest taka ze na raz przekazywana jest tylko jedna kwerenda. Czy ktos ma jaki pomysl w jaki senswny sposob zabezpieczyc tak napisana klase?

kavka Zobacz profil	8.08.2008, 13:14:15 Post #2
Grupa: Zarejestrowani Postów: 81 Pomógł: 2 Dołączył: 9.07.2008 Skąd: Zduńska Wola/Wrocław Ostrzeżenie: (0%)	Proponuję byś wkleił to co napisałeś do tej pory.

php1983 Zobacz profil	8.08.2008, 13:29:09 Post #3
Grupa: Zarejestrowani Postów: 19 Pomógł: 1 Dołączył: 3.08.2008 Skąd: Radom Ostrzeżenie: (0%)	Może coś takiego pomoże: [PHP] pobierz, plaintext <?php class baza{ function isSafe($sqlString){ $unsafeMask=array( 'drop table', 'drop database' ); foreach($unsafeMask as $val){ //stripos jest niewrazliwe na wielkość znakow if(stripos($sqlString, $val)){ return false; } } //tu mozna jeszcze sprawdzac inne warunki return true; } function query($sqlString){ if(!$this->isSafe($sqlString)) return false; //... mysql_query($sqlString); //... return true; } } ?> [PHP] pobierz, plaintext -------------------- Anti-loyal: xp; ubuntu; c++; asm; php 5.2; mysql 5.1; apache 2.2; vs '08 con vs.php; Zend S.

kavka Zobacz profil	8.08.2008, 13:53:29 Post #4
Grupa: Zarejestrowani Postów: 81 Pomógł: 2 Dołączył: 9.07.2008 Skąd: Zduńska Wola/Wrocław Ostrzeżenie: (0%)	http://www.php.rk.edu.pl/w/p/postgresql-i-php/ tu masz przykładową klasę - co prawda dla postgreSQL ale łatwo to zamienić

Nh2003 Zobacz profil	9.08.2008, 09:04:47 Post #5
Grupa: Zarejestrowani Postów: 81 Pomógł: 14 Dołączył: 3.10.2007 Ostrzeżenie: (0%)	php1983 - no niestety, jest to rozwiazanie, ktore niezbyt mnie zadowala -wystarczy ze zapytanie bedzie mialo postac: [SQL] pobierz, plaintext SELECT * FROM TABLE WHERE komentarz = 'we have to block DROP DATABASE'; [SQL] pobierz, plaintext I juz sie nie wykona. kavka - nie wkleje dokladnie bo nie mam teraz dostepu do kodu ale wyglada to +/- tak: [PHP] pobierz, plaintext <?php function query($sqlString){ if (mysql_query($sqlString)) { return true; } else { return false; } ?> [PHP] pobierz, plaintext

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Aktualny czas: 22.08.2025 - 03:00

Hosting zapewnia

Forum PHP.pl