Как передать переменную?

Question

[Михаил Размыслович]

Здравствуйте! Работаю над админкой, она по запросу создает новый php файл и передает туда информацию, как передать переменную, если нужно использовать '', но и переменную нужно обернуть в ''?

$myfile = fopen("../news/$latin.php", "w") or die("Unable to open file!");
    $txt = 
    '<?php
                                $db = new PDO(dsn:"mysql:host=localhost;dbname=BorkiFestival_site", username:"root", password: "root");
                                $info = [];
                                $str = pathinfo(__FILE__, PATHINFO_FILENAME); // осторожно! необходима экранизация
                                if($query = $db->query("SELECT * FROM `news_cards` WHERE name_src LIKE ' $str'")){
                                    $info = $query->fetchAll(fetch_style: PDO::FETCH_ASSOC);
                                }else{
                                    print_r($db->ErrorInfo());
                                }
                                foreach($info as $data):?>'
fwrite($myfile, $txt);
    fclose($myfile);

Comments

[Ivan Ustûžanin]

эм, а зачем создавать файл, если судя по всему, оно должно просто брать данные из базы и выплёвывать их в стандартный вывод?

[Михаил Размыслович]

Ivan Ustûžanin, потому что это админка, и она должна создать новую страницу с новостями

[Алексей Уколов]

Правильный способ: https://www.php.net/manual/en/language.types.strin...

[Ivan Ustûžanin]

Михаил Размыслович, ещё раз, зачем она должна создать СТРАНИЦУ с новостями?
если новости судя по всему берутся из СУБД, и для ВСЕХ новостей достаточно ОДНОЙ страницы, которая будет смотреть на параметры, дёргать из СУБД нужную запись и выводить её в браузер

[Михаил Размыслович]

Ivan Ustûžanin, есть общая страница, но у каждой новости есть своя, персональная страница

[Ivan Ustûžanin]

Михаил Размыслович, я так и не понял зачем каждой новости персональная страница, и видимо не пойму, т.к. получается разговор глухого со слепым
но коли хочется странного, то есть var_export()

ПЛЮС: вернее не понял зачем СОЗДАВАТЬ каждой новости персональную страницу, если выводить любую новость можно одним файлом по урлу типа news-item.php?src=whatever

[GavriKos]

Михаил Размыслович, Персональный URL - это не обязательно отдельный персональный php-файл. Это вполне разруливается роутингом. Можно гет-параметром как предложил Ivan Ustûžanin, можно и позабористее

[Сергей]

GavriKos, Мы это еще не проходили)

[Сергей delphinpro]

Зайдите на lenta.ru или аналогичный новостной сайт. Там новостей по нескольку десятков в день. Неужели вы думаете, что для каждой новости создается отдельный файл?

[AUser0]

Удобнее отказаться от одиночных кавычек, и тогда всё элементарно:

$myfile = fopen("../news/$latin.php", "w") or die("Unable to open file!");
$txt = "\x3C\x3Fphp
    $db = new PDO(dsn:\"mysql:host=localhost;dbname=BorkiFestival_site\", username:\"root\", password:\"root\");
    $info = array();
    $str = $db->quote(pathinfo(__FILE__, PATHINFO_FILENAME)); // необходима экранизация? делаем экранизацию!
    if($query = $db->query(\"SELECT * FROM `news_cards` WHERE name_src LIKE ' {\$str}'\")){
        $info = $query->fetchAll(fetch_style: PDO::FETCH_ASSOC);
    } else {
        print_r($db->ErrorInfo());
    }
    foreach($info as $data):\x3F\x3E
";
fwrite($myfile, $txt);
fclose($myfile);

Только сомнительно, что запрос с таким LIKE должен работать адекватно. Ну да сами уже разберётесь.

[Gip]

"экранизация"...во всех кинтеатрах страны

[alexalexes]

AUser0, есть способы совершить побег из кавычек, даже есть вы санитайзите переменные.
Так что, видите входные и выходные параметры в запросе, не видите плейсхолдеров переменных в тексте запроса и prepare-функционал - все, это инъекция.

[AUser0]

alexalexes, тоесть из встроенного quote() убежать можно, а из плэйсхолдеров встроенного prepare() - уже нельзя? А это специально так сделано?

[alexalexes]

AUser0, нет, просто технологией взаимодействия с СУБД нужно правильно пользоваться.
Я немного слукавил, не со всех кавычек можно совершить побег.
Из этого варианта - нет.
LIKE ' {\$str}'
Но если поискать запрос, у которого на самом конце подставляется числовой параметр, то с этой дыркой можно работать.
"SELECT * FROM `news_cards` WHERE id = {\$id}"
Сначала определят кол-во полей в селекте:
10 union all select 1, 2, 3...
А потом, полезут изучать information_schema (если MYSQL) и все сольют.

[AUser0]

alexalexes, фух, а то я испугался.

[Vitsliputsli]

alexalexes, AUser0,

Я немного слукавил, не со всех кавычек можно совершить побег.

Не факт, кодировок много, в UTF8 полно различных вариантов кавычек и проверять как они все работают - так себе затея. Вспомните дыру в PDO в китайской кодировке. Поэтому гарантировать на 100% отсутствие инъекции может только prepared statements, причем натуральные, а не эмуляция.
А вот с чиловым параметром проще:

"SELECT * FROM `news_cards` WHERE id  = " . (int)$id

здесь уже никак не получится провести инъекцию.

[alexalexes]

Vitsliputsli, всегда prepare делать и никак иначе.
А с экранированием - это как с опасной бритвой работать. Всегда нужно обращать, какой тип данных подставляется, и откуда он приходит.

[Vitsliputsli]

alexalexes, именно так, если СУБД поддерживает, то лучше использовать.

Answer 1

[Vitsliputsli]

Используйте prepared statements. И пересмотрите архитектуру, генерировать код нужно только для очень специфичных задач, и уж точно не для того, чтобы "показать новости". Посмотрите на свой код, вы там ничего не генерируете, у вас статичный код и просто меняются данные.

Answer 2

[SidVisceos]

Первый вариант: использовать ' вместо ".
Второй вариант: экранирование.

Answer 3

[Primoos]

Перед кавычкой ставить обратный слэш

if($query = $db->query("SELECT * FROM \`news_cards\` WHERE name_src LIKE \`$str\'")){

Answer 4

[Fourgotten]

Способов сделать это -- великое множество, но возникает вопрос, "ЗАЧЕМ?"

Как говаривал классик, "не нужна тебе такая админка, брат". Способ вредный, нерациональный, неудобный.

Вам нужно создать ОДИН файл, например news.php в котором будет только тот код, который вы экранируете.

И затем, просто подставлять в SQL запрос вашу переменную $str с уникальным slug новости.
В браузере будет выглядеть так:
site.ru/news.php?slug=pervomai

В php-скрипте получаете slug 'pervomai' (как и любые другие параметры адресной строки) через массив $_GET;
А именно

$str = $_GET['slug'];

В SQL пишете примерно

SELECT ...... WHERE name_src LIKE '$_GET["slug"]'

В итоге: один файл и хоть тысячу новостей через него можно посмотреть.

P.S Все, что получается из массива $_GET, нужно экранировать и обрабатывать, дабы не подставиться под SQL-инъекцию. Загуглите потом "prepared statements в PDO"

Answer 5

[necrodeflorator]

sprintf

Answer 6

[Dredlock]

Можно обернуть в функцию, а требуемую переменную дать аргументом