Własne zabezpieczenie przed sql injection Opcje

[gandziorz]

Witam,
Piszę skrypt który będzie używany przez większość a nie tylko przez administratora dlatego musiałbym zastosować mocniejsze zabezpieczenia przed sql injection.

Przy liczbach stosuje:
(int) np.

[PHP] pobierz, plaintext 
<?php
$liczba = (int) $_POST['dana'];
?>
[PHP] pobierz, plaintext 

Przy wpisach/dodawaniu do mysql stosuję:
mysql_real_escape_string
addslashes
aby uniknąć xss stosuje htmlentities

Jakie jeszcze filtry mogę zastosować?
Wiem że jest temat przyklejony odnośnie tego ale każdy stawia inne rozwiązanie do odpowiedniego skryptu i nie można zawsze przenieść rozwiązań do własnego.
Pozdrawiam i liczę że pomożecie.

[bełdzio]

wstarczy, że będziesz spr czy to co user przesyła jest tym co powinien przesłać (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) czyli jak ma wpisać wiek to spr czy jest liczbą, jak kod to czy pasuje do \d{2}-\d{3} etc etc jeśli nie to die( ) i juz (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

// jakie jeszcze mozesz zastosowac? wsio masz w topiku o ktorym wspomniales, piszesz ze Twoj serwis wymaga czegos specjalnego, a nie piszesz nic o nim wiec na jakiej podstawie mamy cos konkretnego doradzic?

Ten post edytował bełdzio 12.06.2009, 19:46:35

[Crozin]

A po co Ci addslashes przy mysql_real_escape_string?

[gandziorz]

wstarczy, że będziesz spr czy to co user przesyła jest tym co powinien przesłać (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) czyli jak ma wpisać wiek to spr czy jest liczbą, jak kod to czy pasuje do \d{2}-\d{3} etc etc jeśli nie to die( ) i juz (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

// jakie jeszcze mozesz zastosowac? wsio masz w topiku o ktorym wspomniales, piszesz ze Twoj serwis wymaga czegos specjalnego, a nie piszesz nic o nim wiec na jakiej podstawie mamy cos konkretnego doradzic?

Przy rejestracji nie ma takiej możliwości kontrolowania.
Wiek sprawdzam za pomocą funkcji checkdate.

Na stronie do aktualności/artykułów będzie możliwość dodawania komentarzy teraz zachodzi pytanie jak filtrować treść komentarzy.
html się wytnie, ale co z injection?
Zamiast html będzie bb-code.

addslasches usunęłem, dzięki za radę.

Ten post edytował gandziorz 12.06.2009, 20:14:49

[Fifi209]

Jeżeli tak bardzo chcesz się zabezpieczać, możesz skorzystać z biblioteki PDO, gdzie podaje się typ przekazywanej zmiennej i ew. jej długość.

W innym przypadku, jak już pisali mysql_real_escape_string, ja bym dodał wyrażenia regularne. (określasz "bezpieczny" dozwolony ciąg np. tylko a-z i 0-9 [np. dla logowania])

[gandziorz]

Jeżeli tak bardzo chcesz się zabezpieczać, możesz skorzystać z biblioteki PDO, gdzie podaje się typ przekazywanej zmiennej i ew. jej długość.

W innym przypadku, jak już pisali mysql_real_escape_string, ja bym dodał wyrażenia regularne. (określasz "bezpieczny" dozwolony ciąg np. tylko a-z i 0-9 [np. dla logowania])

No racja wyrażenia regularne też są dobre.
Wtedy łatwo określić co może posiadać login.

Zapoznam się z biblioteką PDO.