[MySQL][PHP]preg_match i apostrof Opcje

[djtomaszq]

Używam sprawdzenia w rejestracji:

[PHP] pobierz, plaintext 
                if(!preg_match("@^[a-zA-Z0-9_-]+$@",$login))
		{
			$flaga = false;
		}
[PHP] pobierz, plaintext 

używam zmiennej login w zapytaniu

[SQL] pobierz, plaintext 
$rezultat = $polaczenie->query("SELECT id_users FROM users WHERE login = '$login'");
[SQL] pobierz, plaintext 

Jak wpisze w loginie string z apostrofem w liczbie pazystej wyskakuje:

[PHP] pobierz, plaintext 
Exception: You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near 'd'dsd'' at line 1 in
[PHP] pobierz, plaintext 

Czy preg_match przepuszcza apostrofy czy czegoś nie rozumiem ? (Pewnie to drugie).

[nospor]

1) Na chwile obecna nigdzie nie sprawdzasz czy $flaga to true czy false.
2)
nie [a-zA-Z0-9_-]
a [a-zA-Z0-9_\-]
- to znak specjalny.

3) Dane wkladane to zapytania tak czy siak wypadaloby by ESCAPOWAC a juz najlepiej BINDowac.

[emstawicki]

preg_match nie jest dobrym narzędziem do filtrowania zmiennych zewnętrznych, które użyjesz w zapytaniu.
Poczytaj o trim, stripslashes, htmlspecialchars oraz wstrzykiwaniu szkodliwego zapytania SQL.

[nospor]

@emstawicki no z calym szacunkiem ale jest lepsze od funkcji ktore ty wymieniles.

Poprawnosc loginu jak najbardziej trzeba sprawdzac jak kazdych innych pol. Zas co do escapowania to juz napisalem czego sie powinno uzyc. Funkcje ktore wymieniles tutaj sa totalnie zbedne i nie temu sluza

[Pyton_000]

2)
nie [a-zA-Z0-9_-]
a [a-zA-Z0-9_\-]
- to znak specjalny.

Może się czepam ale nie jeśli występuje na końcu

The minus (hyphen) character can be used to specify a range of characters in a character class. For example, [d-m] matches any letter between d and m, inclusive. If a minus character is required in a class, it must be escaped with a backslash or appear in a position where it cannot be interpreted as indicating a range, typically as the first or last character in the class.

[nospor]

@Pyton o widzisz

[djtomaszq]

Czyli jeśli chce aby login zawierał a-z 0-9 i "_" i "-"
1. to mam nie używać preg_match czy mam użyć tych funkcji trim strip.. html.. i dodatkowo preg_match żeby wyodrębnić _ i - ?

[nospor]

zapomnij o tych trzech funkcjach co podal mstawicki. One nie do tego sluza.

preg_match jest jak najabrdziej ok. Tylko pytanie, czy ty to potem poprawnie uzywasz tej $flaga

[djtomaszq]

tak używam poprawnie (tzn wszystko działa po za tymi apostrofami) bo nie chciałem stu linijek kodu wysyłać ogólnie sprawdzam flage tak:

[PHP] pobierz, plaintext 
if(isset($_POST['submit']))
	{
		$flaga = true;
                //Sprawdzanie poprawności loginu np. ile znaków
               ....
              if(!preg_match("@^[a-zA-Z0-9_\-]+$@",$login))
		{
			$flaga = false;
		}
//Sprawdzanie e-mail hasla
........
try{
			if($polaczenie->connect_errno != 0)
			{
				throw new Exception($polaczenie->mysqli_connect_errno());
			}else
			{
				//Sprawdzenie czy istnieje e-mail
				$rezultat = $polaczenie->query("SELECT id_users FROM users WHERE email = '$email'");
 
				if(!$rezultat) throw new Exception($polaczenie->error);
 
				$ile_mail = $rezultat->num_rows;
				if($ile_mail > 0)
				{
					$flaga = false;
					$_SESSION['e_email'] = trans('key23');
				}
 
				//Czy istnieje taki Login
				$rezultat = $polaczenie->query("SELECT id_users FROM users WHERE login = '$login'");
 
				if(!$rezultat) throw new Exception($polaczenie->error);
 
				$ile_login = $rezultat->num_rows;
				if($ile_login > 0)
				{
					$flaga = false;
					$_SESSION['e_login'] = trans('key24');
				}
 
				//Zapisywanie użytkownika do bazy
				if($flaga == true)
				{
					$data = date('Y-m-d H:i:s');
					if($polaczenie->query("INSERT INTO users VALUES (NULL, 1, '$login', '$haslo_hash', '$email', '$data', 50)"))
					{
						$_SESSION['komunikat'] = trans('key25');
						$_SESSION['kolor_kom'] = "succes";
						header('Location: '.linkGenerator('logowanie').'');
					}else
					{
						throw new Exception($polaczenie->error);
					}
				}
 
				$polaczenie->close();
			}
 
        }
[PHP] pobierz, plaintext 

ale co zrobić z tym apostrofem którego jak wpisze przy rejestracji wywołuje błąd oczywiści 2 apostrofy nie dają błędu.

Ja to rozumiem tak jakby preg_match apostrof przepuszczało i traktowało jako koniec stringa przy 2 apostrofach jest ok bo traktowany jako pusty tekst... (?)

[nospor]

Przeciez o to zapytanie
$rezultat = $polaczenie->query("SELECT id_users FROM users WHERE login = '$login'");

odpalasz zawsze niezaleznie czy $flaga jesdt true czy nie :/ To zapytanie masz odpalac tylko gdy $flaga jest TRUE. Od samego poczatku o tym ci mowie.

A konkretnie gdy to
preg_match("@^[a-zA-Z0-9_\-]+$@",$login)
daje true bo $flaga w miedzyczasie utawiasz tez przy innej okazji.

Poza tym zaiteresuj sie BINDowaniem jak juz pisalem to nie bedziesz mial tak glupich bledow zapytan i twoj skrypt bedzie bezpieczny

[djtomaszq]

ok, przerzuciłem sprawdzenie $flaga przed try i teraz dział bez błędów z '. Dzięki.

Dla pewności zapytam czyli preg_match jest bezpieczne w takiej formie czy ZAWSZE dodatkow w zapytaniach używać BINdowania ? Oczywiście zapomniałem już o tych funkcjach z 3 postu trim html.. itp

[nospor]

Tak, ZAWSZE masz uzywac bindowania. Bo jak kiedys zmienisz regule w preg_match - bo np. klient sobie zazyczy login z apostrofem, to na 100% zapomnisz ze masz niezabezpieczone zapytanie i beda bledy. Tak wiec lepiej wyrob sobie nawyk BINDowania.