Как убрать ошибку в запросе mysql?

Question

[Artem]

Тостер, привет снова, появилась очередная ошибка с mysql
есть такой запрос:

SELECT username FROM ".$nearTour['tourpreregtable']." WHERE username = '".$_COOKIE['username']."'

после выполнения он умирает и выдает такую ошибку:

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'WHERE username = 'test'' at line 1

Собственно где я облажался?

Answer 1

[Yago]

необходимо экранировать данные

Comments

[Artem]

но в куках записано без `

[FanatPHP]

Не надо писать ерунды и давать ссылки на дурацкие статьи.

[olamedia .]

FanatPHP: статья дурацкая, но суть верная

[Artem]

использую mysqli_real_escape_string($connect, $_COOKIE['username']); Но ничего не изменилось, ошибка осталась

[FanatPHP]

olamedia .: суть неверная. В статье упоминается некое несуществующее в природе "SQL экранирование" - абсолютно бессмысленная вещь, которую каждый нуб будет понимать по-своему а в итоге все сделают неправильно. То есть, ценность этого совета - отрицательная.

[Yago]

Artem: А точно ли $nearTour['tourpreregtable'] не пустое?

[Artem]

Yago: нет, не пустая, только что проверил

[Yago]

FanatPHP: В статье упоминается и про Prepared SQL statements. Не стоит мельком взглянув начинать говнокидание.

[FanatPHP]

Это ты не мне, это ты потенциальным читателям рассказывай. И что под "экранированием" ты имел в виду Prepared SQL statements

[olamedia .]

FanatPHP: я не про статью, а про ответ - суть верная, экранировать надо, причем всё, как данные так и все названия (таблиц, колонок, баз и т.д.), если нет 100% уверенности что именно это значение не окажется очередным ключевым словом.

[Yago]

Artem: Попробуйте вывести весь запрос и посмотреть что получится. Возможно, $nearTour['tourpreregtable'] тоже заключается в апострофы.

[FanatPHP]

olamedia .: я же тебе все расписал отдельным комментарием. Само по себе слово "экранировать" - неточное, бессмысленное и вредное. Оно не несет никакой конкретики, но зато имеет вполне устоявшееся неверное толкование - "добавление слешей для защиты от инъекцицй". Если кто-то хочет дать полезный ответ, то он должен в подробностях расписать - что, как и в каких случаях надо форматировать, и какие правила форматирования надо соблюдать. Иначе, если попытаться сжульничать и заменить подробное описание словом "экранировать", польза будет отрицательная. Потому что нуб поймет по-своему, и будет считать escape_string универсальной защитой от инъекций (что нам и продемонстрировал ТС).

Answer 2

[Максим Углов]

$nearTour['tourpreregtable'] - пустой

сделайте вывод запроса перед запуском будет понятнее

Answer 3

[FanatPHP]

Ты так пишешь, как будто у тебя появился очередной повод для гордости ,и ты спешишь со всеми поделиться.

Проблем у тебя у тебя две (на самом деле гораздо больше, но это основные).
1. Ты должен включить отображение ошибок РНР.
2. Переменные передавать в запрос ТОЛЬКО через плейсхолдеры
3. И да, что-то я подзабыл последний пункт. Надо правильно обрабатывать ошибки mysql, выдавая, во-первых, имя файла и строку, в которой произошла ошибка, а во-вторых, добавляя к ней сам запрос.

Answer 4

[olamedia .]

для начала в $_COOKIE['username'] - тут явно может быть что угодно, например, '; DROP DATABASE x; - не вставляйте никакие данные напрямую.
ну и escape: username => `username`... многие слова являются ключевыми

Comments

[FanatPHP]

не стоит, все-таки, употреблять слово escape. оно такое же дурное, как и "экранирование". Ну как можно один и тем же словом обозначать и добавление слешей к кавычкам и добавление кавычек к выражению? Как бедный нуб должен понимать в итоге это слово? Во-первых, надо говорить "форматирование". А во-вторых, если проблема в tourpreregtable, то недо не толкьо добавлять апострофы, но и искейпить их. Поскольку .$nearTour['tourpreregtable'] - тут явно может быть что угодно, например, '; DROP DATABASE x;

[olamedia .]

FanatPHP: nearTour как раз таки неявно - скорее всего результат работы другого запроса либо массив зашитый жестко прямо в скрипте.
Как защита от внешнего воздействия - вполне должно быть понятно.

[FanatPHP]

ну вот, ты не слышал даже детскую страшилку про инъекции второго порядка, а берешься рассуждать про инъекции :) Но даже не это главное - тебя даже не смутила строгая идентичность моей аналогии. То есть, ты берешься защищаться от инъекций в стиле "здесь копать, здесь не копать". Это прямая дорога поиметь инъекцию, имей в виду.

[olamedia .]

FanatPHP: вот идите вы лесом уже со своим высокомерным тыканьем и называнием всех подряд нубами.
бесит когда видят то, что хотят увидеть вместо написанного. я сказал "неявно". это значит НЕЯВНО, а не то, что вы вообразили, будто я не вижу возможность инъекций.
Если вам не нравится слова escaping и экранирование - используйте на здоровье что угодно, мне плевать на ваше личное мнение по этому поводу - это общепринятые названия для данных действий, и не подразумевают конкретной реализации. Если для вас это значит - "добавление слешей" - это в первую очередь ваши проблемы, что вы так запомнили.

[FanatPHP]

Зря ты обиделся. Удивительно нестойкая психика у похапешников. Жаль, ты казался умнее. Но как только тебе сделали замечание - все, истерика и слезы. Надеюсь, это временно, и ты найдешь в себе мужество признать свою неправоту и рассудительность, чтобы понять смысл того, что я сказал. В защите от инъекций главное - защищаться от них. Вне зависимости от того, видит кто-то возможность, или нет. И про инъекции второго порядка почитай все-таки. Это как раз чтение для тех, кто рассуждает про "видение возможностей"

[olamedia .]

FanatPHP: лол, опять за старое. где я написал, что обиделся или что-то подобное? меня просто высаживает такое общение и заявления вида "смотри мое решение, остальные все нубы".
я где-то говорил, что от них не надо защищаться в каком-то случае? укажите на это место, я слепой наверное раз не вижу у себя таких слов. прежде чем учить - научились бы читать то, что написано, а не фантазировать на тему, выдавая свои иллюзии за истину.

[FanatPHP]

1. В случае с инъекцией второго порядка инъекция через "результат работы другого запроса" будет таки "явной". 2. В фразе "защита от внешнего воздействия" ключевым словом опять-таки является слово "внешнего", что неправильно. Источник неверно отформатированных данных нас не должен волновать. Вообще. Внутренние они или внешние. Любое значение, которое приходит через переменную (кроме хардкода) является заведомо неизвестным и должно форматироваться полностью, а не частично.

[olamedia .]

FanatPHP: 1. явной она станет в тот момент, когда станет известно каким образом она определяется.
2 вы неверно поняли мою мысль: все что за "кавычками" - внешнее, исключительно в этом смысле.

[olamedia .]

FanatPHP: попробую изъясниться еще чуточку понятнее: суть экрана - в том, чтобы ни значение не влияло на окружение, ни окружение на значение

[FanatPHP]

Суть "экрана" в том, что его правила должны быть одинаковыми для всех. неважно, явная там инъекция, или неявная. программист не должен рассуждать о таких материях. Он должен тупо следовать инструкции: если переменная попадает в запрос, она должна корректно форматироваться. при этом форматирование должно быть, а) полным, б) адекватным, в) обязательным и г) проводиться перед самым исполнением запроса. Добавление апострофов к иднтификатору - неполное форматирование.

[olamedia .]

FanatPHP: по приведенной вами ссылке
phpfaq.ru/pdo#insert
предлагаются просто замечательные способы
$field = "`".str_replace("`","``",$_GET['field'])."`";
$set.="`".str_replace("`","``",$field)."`". "=:$field, ";
будьте уж последовательны, настаивая на полноте

[FanatPHP]

ну да, это и есть полное форматирование. Какие к нему претензии?

[olamedia .]

FanatPHP: спецсимволы же

[FanatPHP]

какие? Какие конкретно спецсимволы и что конкретно с ними не так?

[olamedia .]

FanatPHP: \0 к примеру, плюс куча других невалидны.

[FanatPHP]

\0 в запросе никакого специального значения не имеет, может только чтение дампа оборвать..

[FanatPHP]

Впрочем, я это проверял только для строковых литералов. Сейчас проверю для идентификаторов.

[olamedia .]

FanatPHP: нашел няшный эксплойт, ну или типа того: SELECT * FROM `table\`` LIMIT 1;SELECT "hello";` WHERE 1 LIMIT 1;`;

собственно, имя таблицы: table\`` LIMIT 1;SELECT "hello";

[olamedia .]

FanatPHP: баг с бакслешем, взял из текущего списка на багтрекере

[olamedia .]

FanatPHP: *упс, там один бактик должен быть в названии, в два он превратится после str_replace

Answer 5

[KuzmenkoArtem]

Попробуйте напрямую sql запрос сделать в phpMyAdmin или тем чем вы пользуетесь. Ошибка будет?