zabezpieczenie injection zbyt dokładne? Opcje

[Dopler]

Mam bazę nazwisk z informacjami. Rekordy wywołuję przez zmienną nazwisko=xxxxx

Jednak żeby się zabezpieczyć przed zhakowaniem całej bazy przez wpisanie nazwisko=a% lub nazwisko=a_
stworzyłem ifa

if(!preg_match("/%/", $nazwisko)&&!preg_match("/_/", $nazwisko))

i działa super - tylko że jest zbyt dokładny - bo są nazwiska takie jak d'Haute (z apostrofem)
i to nazwisko jest wyłapywane jako zhakowanie

jest jakiś sposób żeby zostawić zabezpieczenie ale żeby apostrof nie był brany pod uwagę? I skąd ten apostrof skoro skryptu nie uczulałem na niego?

a może to zabezpieczenie robi się inaczej ?

podgląd bazy jest tu: http://powstanie.okiem.pl

Ten post edytował Dopler 18.06.2012, 18:07:11

[trafas]

może powinieneś pokombinować z funkcją addslashes

[Dopler]

kurcze ... muszę chyba jeszcze raz opisać problem dokładniej - bo przedtem zrobił skrót i widzę że chyba problem leży gdzie indziej

wyszukiwanie mam 2 stopniowe - najpierw wg litery szuka zestawów pierwszych trzech liter
a potem wg tego zestawu szuka nazwisk

nazwisko=d'Haute - działa
ale nie działa wcześniejszy stopień

w tym wcześniejszym stopniu mam jeszcze liczenie znaków
if - wygląda więc tak

if(strlen($lettertwo)==3&&!preg_match("/%/", $lettertwo)&&!preg_match("/_/", $lettertwo)

gdy wywalam strlen - to funkcja działa - a więc to w niej jest coś co chyba nie zlicza apostrofu (a także spacji)
próbowałem z mb_strlen oraz iconv_strlen - i bez rezultatu

[melkorm]

po prostu wywal wszystkie _ i % - bo jak rozumiem korzystasz z LIKE

[Dopler]

tak korzystam z LIKE - ale nie mogę wywalić _ i % bo wtedy można łatwo wyświetlić wszystkie pozycje bazy - zresztą to działa
problem leży w liczeniu strlen

apostrof liczy jak 2 znaki a spację omija

[melkorm]

1. Wywalasz % i _, robisz strlen, dodajesz swoje % i _ (w zależności co używasz)
2. Jak źle liczy? może złe kodowanie? może spróbuj mb_strlen ? nigdy nie spotkałem się by strlen mi źle liczył znaki (chyba że chodzi o UTF-8)

[Dopler]

sorry- ale ja po prostu nie rozumiem co znaczy "wywalasz _%" bo przecież to są trzy osobne warunki w bramce logicznej - warunek długości i nie występowania tych znaków


Rozwiązałem problem

[PHP] pobierz, plaintext 
if(preg_match("/'/", $lettertwo))
  {$sprawdz=4;}
else 
  {$sprawdz=3;}
if(strlen($lettertwo)==$sprawdz&&!preg_match("/%/", $lettertwo)&&!preg_match("/_/", $lettertwo))
[PHP] pobierz, plaintext 

działa - ale czuję że to jest strasznie dookoła - jak siekierą. To chyba powinno być zrobione jakimś kodowaniem ...
Nie jestem pewien czy to wyczerpuje wszystkie możliwości, poza tym nie wiem czy tego i tak nie można jakoś obejść

może jest lepszy sposób?

baza jest w UTF8