Возможна ли тут SQL инъекция?

Question

[Tonako]

Возможна ли инъекция?

WHERE username = '".$_POST['user']."'

// это не мой код, нашел эту строку в движке который купил за деньги ) мда

Comments

[littleguga]

Если вопрос решен, отметьте решения, пожалуйста.

Answer 1

[Roman Hinex]

Да, это открытая SQL Injection уязвимость. Можете использовать mysql_real_escape_string для экранирования если используете старые методы для работы с БД. Если нет, отпишите в комментариях, объясню как это сделать через другие методы.

WHERE username = '".mysql_real_escape_string($_POST['user'])."'

Comments

[Евгений Ахметов]

Единственное, лучше отвыкать от использования mysql расширения, почитайте альтернативы php.net/manual/ru/function.mysql-real-escape-string.php, в 7-ой версии работать не будет.

[Roman Hinex]

Евгений Ахметов полностью согласен, но есть огромная вероятность что используется именно устаревший mysql_*

[Arris]

Евгений Ахметов: Данное расширение устарело, начиная с версии PHP 5.5.0. Мне уже на 5.5 выдает fatal error: deprecated. До 7 пхп еще плыть и плыть, не путайте человека.

[Евгений Ахметов]

Arris: Ну как бы, уже очень скоро 7-ая версия https://wiki.php.net/rfc/php7_57_roadmap, учитывая ее несомненные преимущества (в скорости особенно) переход на нее думается будет достаточно быстр.

[Arris]

Евгений Ахметов: эээ, вы учитываете, когда седьмую версию поставят у себя хостинг-провайдеры? Мне думается, что массово - нескоро.

we should try to release php 7 final: within 1.5 years + 2014-08-15 -- где-то начало 2016.

Вообще конечно да, скоро, но вот к примеру, хостинг-провайдер, на котором я сижу, версию 5.5 ввел в строй только в марте этого года.

[Евгений Ахметов]

Arris: Возможно и так, но привыкать нужно уже жить по новым правилам, чтобы не было потом мучительно больно... ) (да и скрипты часто делаются не на один год, если выполняют свою функцию нормально)

Answer 2

[littleguga]

Да.
Прочитайте