Этого фильтра достаточно?

Question

[v- smerti]

Всем привет. Вот у меня такой фильтр

$login = mysqli_real_escape_string($db, htmlspecialchars(utf8_encode(trim($login))));

после фильтра данные сразу используется в mysqli_query
Зарание спасибо.

P.S
В безопасности я полный ноль

Answer 1

[Андрей Буров]

mysqli_real_escape_string - достаточно.

Я предпочитаю хранить в БД данные, которые ввел пользователь, и при выводе их как-то обрезать экранировать.
Нагрузка выше, но если правила обработки поменяются, то проблем не будет.

Comments

[v- smerti]

при выводе я удаляю экранирование. И опять же <script>alert('я тру хакер');</script> отработает у вас

[Андрей Буров]

Владимир Грабко: я при выводе сделаю экранирование, а в БД буду хранить as-is

[v- smerti]

Андрей Буров: сделаешь экранирование при выводе? и тогда получишь на экране что то вроде

\<script\>alert('я тру хакер');\</script\>\</code\>

[Андрей Буров]

Владимир Грабко: не несите чушь.. результат будет такой-же как и у Вас, только я буду иметь возможность получить оригинал данных, а вы нет..

[v- smerti]

Андрей Буров: я всё проверяю прежде чем написать коментарий

[Андрей Буров]

Владимир Грабко:
вот что я имею в виду:

$login = mysqli_real_escape_string($db, $login);
msqyli_query("INSERT INTO .... (login) VALUES('$login')");
....
$res =mysqli_query('SELECT login from ....');
$row = mysqli_fetch_assoc($res);
$login = htmlspecialchars(utf8_encode(trim($row['login'])));
echo $login;

[v- smerti]

Андрей Буров: а понял

Answer 2

[Хазрат Гаджикеримов]

Пора бы уже использовать какой нибудь класс обертку для MySQL, например PHP-MySQLi-Database-Class

Comments

[v- smerti]

pdo на 20% медленее mysqli да и в mysqli я также могу составить подготовленные sql запросы и не строить фильтр. Но тут спец. задача.

[v- smerti]

+mysqli советуют разработчики пхп

[Хазрат Гаджикеримов]

Владимир Грабко: я имел ввиду класс обертку, он тоже использует mysqli

[v- smerti]

Febox: нет не тот же. Mysqli и Pdo это обьвёртка над mysqlnd.

Answer 3

[evnuh]

$login = addslashes($login);
достаточно для безопасного выполнения запроса, если у вас utf8

Comments

[v- smerti]

я вас обрадую наверное. Но нет. Не достаточно. ПОльзователь может вбить что то вроде
<script>alert('я тру хакер');</script>

и если при выводе удалить экранирование функцией stripcslashes() то сработает alert

[evnuh]

Владимир Грабко: перечитайте свой вопрос. Вы что спросили? И при чем здесь xss? Вы спросили про безопасность использования в _query() функции. Впредь будьте адекватнее когда задаёте вопросы людям.