Этот модуль достаточно защищает сайт от XSS и SQL injection?

Question

Николай @tryvols

Front-End разработчик

PHP

Этот модуль достаточно защищает сайт от XSS и SQL injection?

На сервер передаются только строки или числа.
Естественно PDO в помощь.

Class CheckPost {
	public static function check() {
		foreach($_POST as $key => $value) 
		{
			unset($_POST[$key]);
			$key = mysql_escape_string( htmlspecialchars( strip_tags($key)));
			
			switch(gettype($value)) 
			{
				case 'integer':
					$_POST[$key] = intval($value);
					break;
				case 'string':
					$_POST[$key] = mysql_escape_string( htmlspecialchars( strip_tags($value)));
					break;
			}

			if (is_null($value) || $value == '' || empty($value)) {
				unset($_POST[$key]);
			}
		}
	}
}

Вопрос задан более трёх лет назад
167 просмотров

5 комментариев

Подписаться 1 Оценить 5 комментариев

Stalker_RED @Stalker_RED
if (is_null($value) || $value == '' || empty($value)) {}
всё это можно заменить на
if (empty($value)) - empty() проверяет и на равенство пустой строку и на null.
НО, если вы попытаетесь передать параметр равный нулю, эта проверка удалит и его. Вас устраивает такое поведение?
Написано более трёх лет назад
Николай @tryvols Автор вопроса

Stalker_RED: да, вполне)

Написано более трёх лет назад
Николай @tryvols Автор вопроса

спасибо)@Stalker_RED: спасибо)

Написано более трёх лет назад
Finesse @Finesse

Чтобы ответить на вопрос, не хватает самого SQL запроса

Написано более трёх лет назад
Николай @tryvols Автор вопроса

Finesse: Запросы выглядят так:

Class CountBeforeUser {
private $_query = 'SELECT registration_id FROM queue
INNER JOIN users USING ( user_id )
WHERE queue_id = ? AND reg_time < SOME(
SELECT reg_time FROM users
WHERE code = ?
)';
private $_data = array();
private $_pdo;

public function __construct($pdo) {
$this->_pdo = $pdo;
}

public function get($queue_id) {
$this->_data[0] = $queue_id;
$this->_data[1] = $_POST['user_code'];
return $this->execute();
}

private function execute() {
$queue = $this->_pdo->prepare($this->_query);
$queue->execute($this->_data);
return $queue->rowCount();
}
}

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 1

2 комментария

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

PHP

Простой
Как в html выполнять замену текстового содержимого в зависимости от родительского тега?
- 1 подписчик
- вчера
- 145 просмотров
1

ответ
PHP

+2 ещё

Средний
Почему фид не открывается как xml?
- 1 подписчик
- вчера
- 109 просмотров
1

ответ
PHP

+1 ещё

Простой
Как передать имя таблицы как параметр?
- 2 подписчика
- 27 нояб.
- 124 просмотра
5

ответов
PHP

+1 ещё

Простой
Не работает событие телеграм бота, как запустить его?
- 1 подписчик
- 27 нояб.
- 86 просмотров
1

ответ
PHP

Средний
Обнаружилась на сайте активная РНР сессия, как и где найти функцию session_write_close()?
- 1 подписчик
- 26 нояб.
- 77 просмотров
0

ответов
PHP

+1 ещё

Простой
Как написать правило в nginx чтобы адрес типа localhost:8099/home/index/alex попадал в GET['url'] параметр?
- 1 подписчик
- 26 нояб.
- 77 просмотров
1

ответ
PHP

Средний
Как сформировать список по вложенному массиву рекурсивной функцией?
- 1 подписчик
- 26 нояб.
- 114 просмотров
3

ответа
PHP

Средний
Как указать тип возвращаемого значения абстрактного метода, если он должен возвращать объект класса унаследованного от другой абастракции?
- 1 подписчик
- 26 нояб.
- 100 просмотров
2

ответа
PHP

Простой
Как узнать из-за чего прерывается фоновый процесс запущенный через exec?
- 1 подписчик
- 26 нояб.
- 88 просмотров
2

ответа
PHP

+1 ещё

Средний
Как спарсить этот текст с помощью simplehtmldom?
- 1 подписчик
- 26 нояб.
- 67 просмотров
1

ответ
Показать ещё Загружается…

PHP-разработчик

Decart IT-production

от 260 000 до 340 000 ₽

Backend-разработчик PHP

Wanted. • Москва

До 160 000 ₽

PHP разработчик

Lachestry • Таганрог

от 170 000 до 200 000 ₽

Дизайн сайта

30 нояб. 2024, в 12:52

30000 руб./за проект

Настройка Яндекс DIRECT с "автоматической генерацией"

30 нояб. 2024, в 12:30

7000 руб./за проект

Оценить стартап с точки зрения ЦА

30 нояб. 2024, в 11:32

100 руб./за проект

if (is_null($value) || $value == '' || empty($value)) {}
всё это можно заменить на
if (empty($value)) - empty() проверяет и на равенство пустой строку и на null.
НО, если вы попытаетесь передать параметр равный нулю, эта проверка удалит и его. Вас устраивает такое поведение?
Чтобы ответить на вопрос, не хватает самого SQL запроса
Finesse: Запросы выглядят так:

Class CountBeforeUser {
private $_query = 'SELECT registration_id FROM queue
INNER JOIN users USING ( user_id )
WHERE queue_id = ? AND reg_time < SOME(
SELECT reg_time FROM users
WHERE code = ?
)';
private $_data = array();
private $_pdo;

public function __construct($pdo) {
$this->_pdo = $pdo;
}

public function get($queue_id) {
$this->_data[0] = $queue_id;
$this->_data[1] = $_POST['user_code'];
return $this->execute();
}

private function execute() {
$queue = $this->_pdo->prepare($this->_query);
$queue->execute($this->_data);
return $queue->rowCount();
}
}

Answer 1 · 2016-04-07 01:00:29

первое и главное - mysql_escape_string - деприкэйтед. Не говоря уже о том что не гарантирует защиту. Для этого есть PDO и prepared statements. При использовани препаред - инжекшн практически исключен.

Что должно попасть в кей, что должно остаться в валуе? текст, спецсимволы? Создайте правила, например используйте регулярки.

$keyPreg = "/[A-Za-z0-9]+/";
$key = preg_match($keyPreg, $key);

Этот модуль достаточно защищает сайт от XSS и SQL injection?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт