При записи параметров GET в MySQL нужно экранировать какие-то символы для предотвращения выполнения произвольного кода?

Question

[PO6OT]

При записи нужных параметров из массивов $_GET и $_POST (то есть любого значения) в таблицы MySQL нужно использовать какие-то функции экранирования, например mysql_escape_string или addslashes, для предотвращения выполнения произвольного кода?

Answer 1

[FanatPHP]

из массивов $_GET и $_POST (то есть любого значения)

Вообще-то, кроме $_GET и $_POST бывают и другие массивы. и не массивы. На источник "любого" значения $_GET и $_POST никак не тянут, непонятно, с чего этим двум такая честь.

использовать какие-то функции экранирования, например mysql_escape_string или addslashes, для предотвращения выполнения произвольного кода?

а это уже полный бред. Я навскидку приведу десяток примеров, когда "функции экранирования" не предотвратят вообще ничего. А всё почему? Потому что предназначение этих функций совсем другое, к защите от выполнения кода никакого отношения не имеющее.

Для защиты от исполнения кода любые переменные должны попадать в запрос через плейсхолдер.

Comments

[PO6OT]

любое значение - по тому, что пользователь при регистрации может ввести что угодно

[FanatPHP]

Нет, не поэтому. А потому что понятие "любое значение" означает ЛЮБОЕ значение. А не только то, которое пользователь ввел

[PO6OT]

FanatPHP: понял, но вы могли бы догадаться. не придирайтесь к словам

[FanatPHP]

это не придирки. ты постоянно пытаешь сузить область обрабатываемых значений - то гетом и постом, то пользовательским вводом. На самом деле источник данных здесь вообще не играет никакой роли, и упоминать его нет смысла

[PO6OT]

FanatPHP: я имел в виду, что это значение дает пользователь, по этому он может сунуть туда, что угодно. как предотвратить вред, который может принести код, данный пользователем? как его нейтрализовать?

[FanatPHP]

никак. я ещё раз повторяю, пользователь здесь не при чем. Если говорить о вреде для запроса, то ЛЮБЫЕ переменные должны попадать в запрос через плейсхолдеры. ВСЕГДА. без разницы, пользователь ввел эти данные, или нет. понимаешь? ы вообще не должен думать про источник данных. он не имеет значения.

[FanatPHP]

Короче, если другими словами: никак защищаться от исполнения произвольного кода никогда не нужно. Надо просто правильно работать с базой данных. И все. Как правильно - я написал выше.