Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [PHP]proszę o opinię na temat klasy przeciwdziałającej sql injection
omxd
post
Post #1





Grupa: Zarejestrowani
Postów: 135
Pomógł: 0
Dołączył: 18.05.2010

Ostrzeżenie: (0%)
-----

Witam serdecznie,
przeczytałem setki opinii na temat sql injection i wiem ,że nie ma idealnego rozwiązania.Postanowiłem ,że dla pewności usunę wszystkie słowa i znaki które mogą zaszkodzić (użytkownik nie potrzebuje tych znaków).Proszę o wyrażenie opinii i ew.luk chciałbym mieć jako taką pewność ,że nikt mi tego za moment nie rozsypie.Z góry dziękuję.
[PHP] pobierz, plaintext 
  1. <?php
  2.  
  3. class Lib_Validation_Sql {
  4.  
  5.     public $liste = array('\'', 'declare', 'char', 'set', 'cast', 'convert', 'drop', 'exec', 'meta', 'script', 'select', 'truncate', 'insert', 'delete', 'union', 'update', 'create', 'where', 'join', 'information_schema', 'table_schema', 'into');
  6.     private $specialfind = array('"', '-', '*', '=');
  7.     private $specialreplace = array('"', '-', '*', '=');
  8.  
  9.     public function checkInteger($int) {
  10.         if (is_numeric($int)) {
  11.             return true;
  12.         }
  13.     }
  14.  
  15.     public function checkString($string) {
  16.  
  17.         foreach ($this->liste as $commands) {
  18.             $string = str_replace($commands, " ", $string);
  19.         }
  20.  
  21.         $counted_el = count($this->specialfind);
  22.         for ($i = 0; $i <= 10; $i++) {
  23.             $string = str_replace($this->specialfind[$i], $this->specialreplace[$i], $string);
  24.         }
  25.  
  26.         if ((is_string($string)) and (false !== strpos($string, "\\"))) {
  27.            $string = str_replace( array("\\"), '', $string);
  28.         } 
  29.         if ((is_string($string)) and (false !== strpos($string, "/"))) {
  30.            $string = str_replace( array("/"), '', $string);
  31.         } 
  32.  
  33.         return $string;
  34.     }
  35.  
  36. }
  37.  
  38. ?>
[PHP] pobierz, plaintext
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
omxd
post
Post #2





Grupa: Zarejestrowani
Postów: 135
Pomógł: 0
Dołączył: 18.05.2010

Ostrzeżenie: (0%)
-----

używam mysqli i napisanego przeze mnie framework'a - będę miał ogrom pracy przy przebudowie wszystkiego .Nie przemyślałem tego niestety wcześniej.Myślisz ,że to tymczasowo zda egzamin?
Go to the top of the page
+Quote Post
!*!
post
Post #3





Grupa: Zarejestrowani
Postów: 4 298
Pomógł: 447
Dołączył: 16.11.2006

Ostrzeżenie: (0%)
-----

Cytat(omxd @ 4.06.2013, 09:56:31 ) *
używam mysqli i napisanego przeze mnie framework'a - będę miał ogrom pracy przy przebudowie wszystkiego .Nie przemyślałem tego niestety wcześniej.Myślisz ,że to tymczasowo zda egzamin?

A to mysqli nie ma bindowania? Powyższy kod jest bez sensu, jego też nie przemyślałeś.
Go to the top of the page
+Quote Post

Posty w temacie
- omxd   [PHP]proszę o opinię na temat klasy przeciwdziałającej sql injection   4.06.2013, 08:26:38
- - Damonsson   Robota głupiego. Stosuj poprawnie PDO i nie będzie...   4.06.2013, 08:43:41
- - omxd   używam mysqli i napisanego przeze mnie framework...   4.06.2013, 08:56:31
|- - !*!   Cytat(omxd @ 4.06.2013, 09:56:31 ) uż...   4.06.2013, 09:20:25
- - bmL   mysqli też się nada na zabezpieczenie przed sql in...   4.06.2013, 09:25:57
- - pmir13   Tymczasowo egzamin zda, dopóki nie przerobisz cało...   4.06.2013, 10:14:41

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 14.10.2025 - 21:11
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn