SQL « Защита от SQL инъекции в PHP

Question

SQL « Защита от SQL инъекции в PHP

Всем добрый вечер! Подскажите, пожалуйста, как я могу защитить свои MySQL запросы от SQL инъекции?

/** * GeSHi (C) 2004 - 2007 Nigel McNie, 2007 - 2008 Benny Baumann * (http://qbnz.com/highlighter/ and http://geshi.org/) */ .sql.geshi_code {font-family:monospace;} .sql.geshi_code .imp {font-weight: bold; color: red;} .sql.geshi_code .kw1 {color: #993333; font-weight: bold;} .sql.geshi_code .co1 {color: #808080; font-style: italic;} .sql.geshi_code .co2 {color: #808080; font-style: italic;} .sql.geshi_code .coMULTI {color: #808080; font-style: italic;} .sql.geshi_code .es0 {color: #000099; font-weight: bold;} .sql.geshi_code .br0 {color: #66cc66;} .sql.geshi_code .sy0 {color: #66cc66;} .sql.geshi_code .st0 {color: #ff0000;} .sql.geshi_code .nu0 {color: #cc66cc;} .sql.geshi_code span.xtra { display:block; }

$sql = "SELECT * FROM users WHERE username LIKE '$search'";
$query = "SELECT username, subject, message, DATE_FORMAT(created, '%d-%m-%Y %T') AS `date` FROM messages WHERE id='$a'";

И так далее...

Написал вот такую чудо функцию на PHP:
/** * GeSHi (C) 2004 - 2007 Nigel McNie, 2007 - 2008 Benny Baumann * (http://qbnz.com/highlighter/ and http://geshi.org/) */ .php.geshi_code {font-family:monospace;} .php.geshi_code .imp {font-weight: bold; color: red;} .php.geshi_code .kw1 {color: #b1b100;} .php.geshi_code .kw2 {color: #000000; font-weight: bold;} .php.geshi_code .kw3 {color: #990000;} .php.geshi_code .co1 {color: #666666; font-style: italic;} .php.geshi_code .co2 {color: #666666; font-style: italic;} .php.geshi_code .co3 {color: #0000cc; font-style: italic;} .php.geshi_code .co4 {color: #009933; font-style: italic;} .php.geshi_code .coMULTI {color: #666666; font-style: italic;} .php.geshi_code .es0 {color: #000099; font-weight: bold;} .php.geshi_code .es1 {color: #000099; font-weight: bold;} .php.geshi_code .es2 {color: #660099; font-weight: bold;} .php.geshi_code .es3 {color: #660099; font-weight: bold;} .php.geshi_code .es4 {color: #006699; font-weight: bold;} .php.geshi_code .es5 {color: #006699; font-weight: bold; font-style: italic;} .php.geshi_code .es6 {color: #009933; font-weight: bold;} .php.geshi_code .es_h {color: #000099; font-weight: bold;} .php.geshi_code .br0 {color: #009900;} .php.geshi_code .sy0 {color: #339933;} .php.geshi_code .sy1 {color: #000000; font-weight: bold;} .php.geshi_code .st0 {color: #0000ff;} .php.geshi_code .st_h {color: #0000ff;} .php.geshi_code .nu0 {color: #cc66cc;} .php.geshi_code .nu8 {color: #208080;} .php.geshi_code .nu12 {color: #208080;} .php.geshi_code .nu19 {color:#800080;} .php.geshi_code .me1 {color: #004000;} .php.geshi_code .me2 {color: #004000;} .php.geshi_code .re0 {color: #000088;} .php.geshi_code span.xtra { display:block; }

function sanitizeString($var)
{
trim($var);
strip_tags($var);
htmlspecialchars($var);
stripslashes($var);
mysql_real_escape_string($var);
}

Только эта функция почему-то вычищает все под чистую ;-((

Подскажите, пожалуйста, мне верное решение данной проблемы. Заранее спасибо.

0

mysql php sql sql-инъекция

автор:

1 ответов

автор: · Accepted Answer · 1970-01-01 00:33:39

Зачем все это? Для защиты от sql-injection достаточно

$sql = "SELECT * FROM users WHERE username
LIKE '%".mysql_real_escape_string ($search)."'";
Вообще, лучше пользоваться PDO или mysqli.

автор: · Accepted Answer · 1970-01-01 00:33:39

Всё уже давно придумано: есть масса библиотек для безопасной работы с базами данных - можно "позаимствовать из любого фреймворка и при желании покопаться. Вспомнилась еще вот эта штука, хотя сам не пользовался. На той же страничке упомянуты PEAR DB, ADOdb, PDO. Так что есть куда подглядеть.
Конкретно в вашем случае: функция sanitizeString просто напросто сжирает переменную, ничего не возвращая. Правильно будет так:

function sanitizeString($var) {
$var = trim($var);
$var = strip_tags($var);
$var = htmlspecialchars($var);
$var = stripslashes($var);
$var = mysql_real_escape_string($var);

return $var;
}Но обработка слишком параноидальная - статью или новость с картинками она обрубит по самое "нехочу".

автор: · Accepted Answer · 1970-01-01 00:33:39

1. Используйте подготовленные выражения.
2. Не используйте mysql_ расширение.

автор: · Accepted Answer · 1970-01-01 00:33:39

Если речь именно о "Защита от SQL инъекции в PHP", то функции trim(), strip_tags() и htmlspecialchars() к теме отношения не имеют.
Кратко:
1. Нужно знать включен или нет get_magic_quotes_gpc. Если включен, то избавится от уже автоматически добавленных слешей.
2. Использовать средства расширения php для доступа к нужной базе данных для обработки значений вставляемых в SQL запрос:
mysql - mysql_real_escape_string;
mysqli - mysqli_real_escape_string;
pdo - prepare().

Кроме того, в CMS'ах и Framework'ах порой используются свои функции, классы обёртки, ORM и прочий ГК над расширениями php и там нужно смотреть специально.

Для понимания темы более подробно рекомендую изучить http://phpfaq.ru/slashes

Фильтрация переданных данных и их вывод в безопасном виде - эти параллельные темы безопасности, но не имеющие прямого отношения к SQL инъекции.

UPDATE:
На хабре появилась отличная подробная статья с примерами по защите от SQL-инъекций. Всячески рекомендую.
http://habrahabr.ru/post/148701/