Задать вопрос
@sait4seo
php

Поможет ли такой php-код защититься от sql-инъекций и XSS, какие в нём есть уязвимости?

$this->post = str_secure($_POST);
$this->get = str_secure($_GET);
$this->session = str_secure($_SESSION);
$this->cookie = str_secure($_COOKIE);

 function str_secure($str, $int=0)
{
    if (is_array($str))
    {
    foreach($str as $k=>$s)
    $str[str_secure($k)]=str_secure($s);}
    else{
$str = str_replace(array("\r\n","\r","\n","\t"), ' ', $str);
    $str = trim(strip_tags($str));
    $str=str_replace("'",''', $str);
    $str=str_replace('"','"', $str);
    $str=addslashes($str);  
    if ($int==1){
     $str = abs((int)($str));    
    }}
    return $str;
}

Понимаю, что правильно использовать bindParam и плейсхолдеры, но сами sql-запросы переписать не смогу, так как их очень много.
В проекте не используется MySQLi, так бы real_escape_string заюзал.

Одну, пожалуй, сам напишу, если $_GET['param1'] должен быть только целочисленный, то придётся отдельно описать его, иначе строку могут впихнуть.
  • Вопрос задан
  • 3905 просмотров
Комментировать
Подписаться 4 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 6
FanatPHP
@FanatPHP
Чебуратор тега РНР
Все что делает этот идиотский код - это портит входящие данные.
Я даже не знаю, стоит ли объяснять. Ведь 100500 раз уже объясняли.

Но самый, конечно ад - это ответы.

Когда начинаешь этим щеночкам объяснять, что такое инъекция, и как от нее защититься, все начинают шипеть - "да знаем уже, учоные!". Но когда доходит до дела - такой ад выдают, что становится понятно. Не учёные, а все те же обезьяны, которые вызубрили пару заклинаний, но по традиции не понимают, ни как эти заклинания работают, ни для чего они нужны.

Тем, кто предлагает отрезать кавычки от quote, надо самим что-нибудь отрезать.

И это неловкое чувство, когда 2015 году слышишь самую заветную мантру мадагаскарских гамадрилов: "mysql_real_escape_string зашышает от ынъекцый!". Стоит, блин, такой "устаревший", но еще крепкий архангел с пылающим мечом, и разит супостата прямо в темечко - вот так представляет себе принцип работы этой функции средний пользователь похапе.
Ответ написан
Комментировать
Комментировать
Melkij
@Melkij
PostgreSQL DBA
Вновь магические кавычки изобретаете?
От самых тупых атак поможет. Самому себе проблем добавит over9000.
addslashes пробить можно атакой на кодировку.

В проекте не используется MySQLi, так бы real_escape_string заюзал.

Вы так пишете, как будто эти два независимых высказыванию есть причина и следствие.
Раз есть SQL - значит есть драйвер БД. Не помню ни одного драйвера, который бы даже при наличии подготовленных запросов не предоставлял экранирующий метод.
Ответ написан
Комментировать
Комментировать
index0h
@index0h
PHP, Golang. https://github.com/index0h
На что только люди не идут, что бы не использовать PDO.

Если уже пошла такая пьянка - почему непечатаемые символы не убираешь?
+ html_entity_decode можно пройтись на всякий пожарный.
Ответ написан
Комментировать
Комментировать
nazarpc
@nazarpc
Open Source enthusiast
1) Использовать ::quote() и убирать крайние кавычки
2) Нагло использовать устаревшую, но всё ещё присутствующую mysql_real_escape_string()
Ответ написан
2 комментария
2 комментария
WebSpider
@WebSpider
> В проекте не используется MySQLi, так бы real_escape_string заюзал.
А что используется? В MySQL как бы тоже есть функция mysql_real_escape_string
Ответ написан
7 комментариев
7 комментариев
wmgodyak
@wmgodyak
php.net/manual/ru/function.filter-var.php в помощь
Ответ написан
1 комментарий
1 комментарий
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
PHP-разработчик
Decart IT-production
от 260 000 до 340 000 ₽
Backend-разработчик PHP
Wanted. Москва
До 160 000 ₽
Разработчик PHP
Автомакон
от 206 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Телеграм бот
22 нояб. 2024, в 02:56
10000 руб./за проект
Перерисовать логотип в векторе
22 нояб. 2024, в 00:55
500 руб./за проект
Разработка алгоритма на python (Data engineering)
21 нояб. 2024, в 23:30
300000 руб./за проект
Ещё заказы