Witam serdecznie,
przeczytałem setki opinii na temat sql injection i wiem ,że nie ma idealnego rozwiązania.Postanowiłem ,że dla pewności usunę wszystkie słowa i znaki które mogą zaszkodzić (użytkownik nie potrzebuje tych znaków).Proszę o wyrażenie opinii i ew.luk chciałbym mieć jako taką pewność ,że nikt mi tego za moment nie rozsypie.Z góry dziękuję.

[PHP] pobierz, plaintext 
<?php
 
class Lib_Validation_Sql {
 
    public $liste = array('\'', 'declare', 'char', 'set', 'cast', 'convert', 'drop', 'exec', 'meta', 'script', 'select', 'truncate', 'insert', 'delete', 'union', 'update', 'create', 'where', 'join', 'information_schema', 'table_schema', 'into');
    private $specialfind = array('"', '-', '*', '=');
    private $specialreplace = array('"', '-', '*', '=');
 
    public function checkInteger($int) {
        if (is_numeric($int)) {
            return true;
        }
    }
 
    public function checkString($string) {
 
        foreach ($this->liste as $commands) {
            $string = str_replace($commands, " ", $string);
        }
 
        $counted_el = count($this->specialfind);
        for ($i = 0; $i <= 10; $i++) {
            $string = str_replace($this->specialfind[$i], $this->specialreplace[$i], $string);
        }
 
        if ((is_string($string)) and (false !== strpos($string, "\\"))) {
           $string = str_replace( array("\\"), '', $string);
        } 
        if ((is_string($string)) and (false !== strpos($string, "/"))) {
           $string = str_replace( array("/"), '', $string);
        } 
 
        return $string;
    }
 
}
 
?>
[PHP] pobierz, plaintext 

Robota głupiego. Stosuj poprawnie PDO i nie będziesz musiał się martwić o SQL Injection.

używam mysqli i napisanego przeze mnie framework'a - będę miał ogrom pracy przy przebudowie wszystkiego .Nie przemyślałem tego niestety wcześniej.Myślisz ,że to tymczasowo zda egzamin?

A to mysqli nie ma bindowania? Powyższy kod jest bez sensu, jego też nie przemyślałeś.

mysqli też się nada na zabezpieczenie przed sql injection
http://www.php.net/manual/en/mysqli.quicks...-statements.php
Możesz sobie nawet napisać klasę która będzie dziedziczyła po oryginalnym mysqli i będzie robić coś w stylu

[PHP] pobierz, plaintext 
<?php
function query($query, $params) {
$stmt = $this -> connection -> prepare($query);
$stmt -> bind_param(str_repeat('s', count($params)), $params);
return $stmt -> fetch_all();
}
[PHP] pobierz, plaintext 

wykorzystanie wyglądało by tak:

[PHP] pobierz, plaintext 
<?php
$mysqli -> query('SELECT x,y,z FROM p WHEER x=?,y=?', [$x,$y]);
[PHP] pobierz, plaintext 

Dla uwygodnienia sobie życia można by wykorzystać http://php.net/manual/en/function.func-get-args.php

Taka moja luźna propozycja.

Tymczasowo egzamin zda, dopóki nie przerobisz całości kodu.
Dlaczego jednak checkString zwraca wyczyszczony string, a checkInteger tylko true/false? I dlaczego ta ostatnia metoda tak się nazywa skoro is_numeric() przepuści na przykład '1.23E-14' ?
Poza tym dość łatwo zakładasz że użytkownik może pewnych znaków nie potrzebować. Gdybym miał przykładowo sklep internetowy to Shaquille O'Neal byłby dla mnie wielce pożądanym klientem.