Forum PHP.pl

Mam problem ponieważ napisałem klasę wszystko ok, ale nie mam pojecia jak dodać np. addslashes?

Oto klasa:

[PHP] pobierz, plaintext 
<?php
 
class SQL
{
public $db_host;
public $db_user;
public $db_name;
public $db_pass;
 
 public function __construct($db_host, $db_user, $db_name, $db_pass)
 {
     $this->db_host = $db_host;
     $this->db_user = $db_user;
     $this->db_name = $db_name;
     $this->db_pass = $db_pass;
 }
 
 public function connect()
 {
     $this->connect = mysql_connect($this->db_host, $this->db_user, $this->db_pass)
     or die ("Nie można połączyć z bazą danych!");
 
     mysql_select_db($this->db_name, $this->connect);
 }
 
 public function query($query)
 {
     $this->query = $query;
     $this->result = mysql_query($this->query);
 }
 
 public function closeSQL()
 {
     mysql_close($this->connect);
 }
 
}
?>
[PHP] pobierz, plaintext 

kombinowałem tak żeby w tej lini:

[PHP] pobierz, plaintext 
<?php
$this->query = $query;
?>
[PHP] pobierz, plaintext 

dodać addslashes tak:

[PHP] pobierz, plaintext 
<?php
$this->query = addslashes($query);
?>
[PHP] pobierz, plaintext 

ale nie działa...



Jak to rozwiązać, żeby zapytanie automatycznie było zabezpieczone, żebym nie musiał rozkminiać podczas pisania aplikacji o zabezpieczeniu.

Ten post edytował DonJeday 3.11.2008, 17:53:47

Moja klasa (przypasowana w frameworka):
http://phpfi.com/373319

Jednak nadal można podejrzeć parę rzeczy. Np metody Insert i Update

PS. Nie wiem czy transakcje tam dzialają więc się na nich nie wzoruj

EDIT; Zauważyłem, że jest tam jeszcze assignInt itp., ale to już dawno zostało wyrzucone z kodu ze względu na niewygode pisania zapytań.

Ten post edytował bartg 3.11.2008, 18:10:34

I powiedź mi po co powielasz funkcjonalność już obecną w php? http://pl2.php.net/mysqli
albo jeszcze lepiej: http://pl2.php.net/pdo

Bo się uczę programowania obiektowego, wale te pro funkcje...
Powiedzcie mi jak to zabezpieczyć... a nie zastąpić wbudowanymi funkcjami / klasami...

Oj tak nie będziemy rozmawiać.
To co narazie robisz ma niewiele wspólnego z OOP ale wątpię żeby ktoś w odpowiedzi na ton żądaniowy udzielił Ci pomocy... powodzenia.

Przenoszę z Programowanie obiektowe na PHP

empathon, z tego co się orientuję to do PDO potrzebny jest sterownik, którego mój serwer nie posiada...

1. dodaj kolejna funkcje ktorej zadaniem bedzie "zabezpieczenie zmiennej"
2. addslashes służy do czego innego, poczytaj o mysql_real_escape_string

1. Właśnie o tym myslałem;


2. mysql_real_escape_string używam do zabezpieczania pól z formularzy czyli danych wchodzących do zapytania, może nie opłaca się zabezpieczyć klasy skoro używam mysql_real_escape_string?
robiłem to tak:

[PHP] pobierz, plaintext 
<?php
$login_sec = mysql_real_escape_string($_POST[login], $connect);
?>
[PHP] pobierz, plaintext 

i potem $login_sec wrzucałem do zapytania

Ten post edytował DonJeday 3.11.2008, 21:34:54

skoro robisz klase do zabawy z SQL to w niej powinno byc zabezpieczanie, bo jesli teoretycznie zmienisz sterownik z mySQL na np Postrge to bedziesz musial zmienic poza klasa dodatkowo pliki aplikacji

PDO ma swoje minusy (wydaje mi się, że nie ma wszystkich typowych dla MySQL opcji).

Ale może niedobrze uczyć się kododawania MySQL-specific? Heh, w takim układzie, w ogóle czemu PHP, są inne języki, nie będę pokazywał palcem...

Ale używanie MySQL bez MySQLi ? Bezcelowe.

MySQLi ma swoje ograniczenia, i owszem, ale jeśli już coś rozszerzać, to właśnie MySQLi aż się prosi o rozszerzenie. Oczywiście bez sensu dopisywać do niego już istniejącą funkcjonalność, ale są ciekawsze sposoby rozszerzania. Mój lib na przykład implementuje interfejs Countable i Iterator, co pozwala na całkiem przyjemne posługiwanie się zapytaniami w kodzie:

foreach (db::$cc->query('select * from my_table') as $n => $record) { ... }

Ale do takiego skrótu potrzebna jest opcja, w jakiej postaci mają być zwracane rzędy wyniku, u mnie defaultowo zwraca jako obiekty, ale można przełączyć na coś innego.

Co do zabezpieczania, to oczywiście mysqli::real_escape_string(). Podobno prawidłowe działanie tej funkcji wymaga ustawienia locale:

@setlocale('LC_ALL', 'pl_PL.UTF-8');

Jeśli oczywiście używasz UTF-8. Jeśli czegoś innego, ustawiasz na coś innego.

Żeby nie musieć PAMIĘTAĆ o escapowaniu każdego stringa zapodawanego do zapytania, w kodzie inicjującym swoją aplikację zrobiłem escapowanie tablic $_GET, $_POST i $_REQUEST. Tak na wszelki wypadek. Działa. Po włączeniu tego injecty do bazy już mi nie przechodziły

O co jeszcze rozszerzam MySQLi? Na przykład poprawiam buga w odczycie wartości pól bitowych. Jeśli sprawdzisz je na true albo false to się zdziwisz. Nie zawierają nawet 0 ani 1. Próba "podglądnięcia" co takiego zwraca php dla takich pól zwróci dziwne rzeczy. A tak na prawdę to chr(0) i chr(1). "Bez sęsu", prawda?

Co jeszcze się przydaje? Lepsza obsługa wartości typu set i enum, funkcje kopiowania i przenoszenia tabel, tworzenia widoków, importowania i eksportowania danych... Ale nie będę wklejał kodu, toż to sama przyjemność sobie to napisać

A co do tematu zabezpieczania, niech Ci tylko do głowy nie strzeli sprawdzać każdego zapytania przed wysłaniem! TO JEST ZŁE, bo po co sprawdzać coś za każdym wywołaniem funkcji, co może być sprawdzone JEDNORAZOWO, przy uruchomieniu.