Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [PHP]Zabezpieczenie przed SQL Injection
robos85
post
Post #1





Grupa: Zarejestrowani
Postów: 466
Pomógł: 11
Dołączył: 21.09.2006
Skąd: Szczecin

Ostrzeżenie: (0%)
-----

Czy takie coś pozwoli mi się zabezpieczyć przed SQL Inj.. ?
[PHP] pobierz, plaintext 
  1. <?php
  2. function sqlesc($x) {
  3.     return mysql_real_escape_string($x);
  4. }
  5.  
  6. function strip_magic_quotes($arr)
  7. {
  8.     foreach ($arr as $k => $v){
  9.         if (is_array($v)){ 
  10.             $arr[$k] = strip_magic_quotes($v); 
  11.         }
  12.         else{ 
  13.             $arr[$k] = stripslashes($v); 
  14.         }
  15.     }    
  16.     return $arr;
  17. }
  18.  
  19. if (get_magic_quotes_gpc())
  20. {
  21.     if (!empty($_GET)) { $_GET = strip_magic_quotes($_GET); }
  22.     if (!empty($_POST)) { $_POST = strip_magic_quotes($_POST); }
  23.     if (!empty($_COOKIE)) { $_COOKIE = strip_magic_quotes($_COOKIE); }
  24. }
  25.  
  26.  
  27. // addslashes to vars if magic_quotes_gpc is off
  28. // this is a security precaution to prevent someone
  29. // trying to break out of a SQL statement.
  30. //
  31.  
  32. if( !get_magic_quotes_gpc() )
  33. {
  34.     if( is_array($_GET) ){
  35.         while( list($k, $v) = each($_GET) ) {
  36.             if( is_array($_GET[$k]) ){
  37.                 while( list($k2, $v2) = each($_GET[$k]) ){
  38.                     $_GET[$k][$k2] = addslashes($v2);
  39.                 }
  40.                 @reset($_GET[$k]);
  41.             }
  42.             else {
  43.                 $_GET[$k] = addslashes($v);
  44.             }
  45.         }
  46.         @reset($_GET);
  47.     }
  48.     
  49.     if( is_array($_POST) ){
  50.         while( list($k, $v) = each($_POST) ){
  51.             if( is_array($_POST[$k]) ){
  52.                 while( list($k2, $v2) = each($_POST[$k]) ){
  53.                     $_POST[$k][$k2] = addslashes($v2);
  54.                 }
  55.                 @reset($_POST[$k]);
  56.             }
  57.             else{
  58.                 $_POST[$k] = addslashes($v);
  59.             }
  60.         }
  61.         @reset($_POST);
  62.     }
  63.     
  64.     if( is_array($_COOKIE) ){
  65.         while( list($k, $v) = each($_COOKIE) ){
  66.             if( is_array($_COOKIE[$k]) ){
  67.                 while( list($k2, $v2) = each($_COOKIE[$k]) ){
  68.                     $_COOKIE[$k][$k2] = addslashes($v2);
  69.                 }
  70.                 @reset($_COOKIE[$k]);
  71.             }
  72.             else{
  73.             $_COOKIE[$k] = addslashes($v);
  74.             }
  75.         }
  76.         @reset($_COOKIE);
  77.     }
  78. }
  79. ?>
[PHP] pobierz, plaintext


a dodawanie/update do bazy robić tak:
[PHP] pobierz, plaintext 
  1. <?php
  2. "UPDATE ...... SET `cos`='".sqlesc($_GET['blabla']."'..."
  3. ?>
[PHP] pobierz, plaintext


wyświetlenie wyników już na stronę z htmlspecialchars" title="Zobacz w manualu PHP" target="_manual

i jak, takie coś może być?

Ten post edytował robos85 30.09.2008, 13:33:51
Go to the top of the page
+Quote Post

Posty w temacie
- robos85   [PHP]Zabezpieczenie przed SQL Injection   1.10.2008, 12:25:36
- - skowron-line   Na forum jest cały temat poświęcony SQL injection ...   1.10.2008, 12:27:08
- - MWL   Zadziała, ale dajesz tego za dużo, wystarczy samo ...   1.10.2008, 12:29:26

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 19.08.2025 - 21:57
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn