[PHP]proszę o opinię na temat klasy przeciwdziałającej sql injection Opcje

[omxd]

Witam serdecznie,
przeczytałem setki opinii na temat sql injection i wiem ,że nie ma idealnego rozwiązania.Postanowiłem ,że dla pewności usunę wszystkie słowa i znaki które mogą zaszkodzić (użytkownik nie potrzebuje tych znaków).Proszę o wyrażenie opinii i ew.luk chciałbym mieć jako taką pewność ,że nikt mi tego za moment nie rozsypie.Z góry dziękuję.

[PHP] pobierz, plaintext 
<?php
 
class Lib_Validation_Sql {
 
    public $liste = array('\'', 'declare', 'char', 'set', 'cast', 'convert', 'drop', 'exec', 'meta', 'script', 'select', 'truncate', 'insert', 'delete', 'union', 'update', 'create', 'where', 'join', 'information_schema', 'table_schema', 'into');
    private $specialfind = array('"', '-', '*', '=');
    private $specialreplace = array('"', '-', '*', '=');
 
    public function checkInteger($int) {
        if (is_numeric($int)) {
            return true;
        }
    }
 
    public function checkString($string) {
 
        foreach ($this->liste as $commands) {
            $string = str_replace($commands, " ", $string);
        }
 
        $counted_el = count($this->specialfind);
        for ($i = 0; $i <= 10; $i++) {
            $string = str_replace($this->specialfind[$i], $this->specialreplace[$i], $string);
        }
 
        if ((is_string($string)) and (false !== strpos($string, "\\"))) {
           $string = str_replace( array("\\"), '', $string);
        } 
        if ((is_string($string)) and (false !== strpos($string, "/"))) {
           $string = str_replace( array("/"), '', $string);
        } 
 
        return $string;
    }
 
}
 
?>
[PHP] pobierz, plaintext 

[Damonsson]

Robota głupiego. Stosuj poprawnie PDO i nie będziesz musiał się martwić o SQL Injection.

[omxd]

używam mysqli i napisanego przeze mnie framework'a - będę miał ogrom pracy przy przebudowie wszystkiego .Nie przemyślałem tego niestety wcześniej.Myślisz ,że to tymczasowo zda egzamin?

[!*!]

używam mysqli i napisanego przeze mnie framework'a - będę miał ogrom pracy przy przebudowie wszystkiego .Nie przemyślałem tego niestety wcześniej.Myślisz ,że to tymczasowo zda egzamin?

A to mysqli nie ma bindowania? Powyższy kod jest bez sensu, jego też nie przemyślałeś.

[bmL]

mysqli też się nada na zabezpieczenie przed sql injection
http://www.php.net/manual/en/mysqli.quicks...-statements.php
Możesz sobie nawet napisać klasę która będzie dziedziczyła po oryginalnym mysqli i będzie robić coś w stylu

[PHP] pobierz, plaintext 
<?php
function query($query, $params) {
$stmt = $this -> connection -> prepare($query);
$stmt -> bind_param(str_repeat('s', count($params)), $params);
return $stmt -> fetch_all();
}
[PHP] pobierz, plaintext 

wykorzystanie wyglądało by tak:

[PHP] pobierz, plaintext 
<?php
$mysqli -> query('SELECT x,y,z FROM p WHEER x=?,y=?', [$x,$y]);
[PHP] pobierz, plaintext 

Dla uwygodnienia sobie życia można by wykorzystać http://php.net/manual/en/function.func-get-args.php

Taka moja luźna propozycja.

[pmir13]

Tymczasowo egzamin zda, dopóki nie przerobisz całości kodu.
Dlaczego jednak checkString zwraca wyczyszczony string, a checkInteger tylko true/false? I dlaczego ta ostatnia metoda tak się nazywa skoro is_numeric() przepuści na przykład '1.23E-14' ?
Poza tym dość łatwo zakładasz że użytkownik może pewnych znaków nie potrzebować. Gdybym miał przykładowo sklep internetowy to Shaquille O'Neal byłby dla mnie wielce pożądanym klientem.

Ten post edytował pmir13 4.06.2013, 10:17:08