Этот модуль достаточно защищает сайт от XSS и SQL injection?

Question

Николай @tryvols

Front-End разработчик

PHP

Этот модуль достаточно защищает сайт от XSS и SQL injection?

На сервер передаются только строки или числа.
Естественно PDO в помощь.

Class CheckPost {
	public static function check() {
		foreach($_POST as $key => $value) 
		{
			unset($_POST[$key]);
			$key = mysql_escape_string( htmlspecialchars( strip_tags($key)));
			
			switch(gettype($value)) 
			{
				case 'integer':
					$_POST[$key] = intval($value);
					break;
				case 'string':
					$_POST[$key] = mysql_escape_string( htmlspecialchars( strip_tags($value)));
					break;
			}

			if (is_null($value) || $value == '' || empty($value)) {
				unset($_POST[$key]);
			}
		}
	}
}

Вопрос задан более трёх лет назад
167 просмотров

5 комментариев

Подписаться 1 Оценить 5 комментариев

Stalker_RED @Stalker_RED
if (is_null($value) || $value == '' || empty($value)) {}
всё это можно заменить на
if (empty($value)) - empty() проверяет и на равенство пустой строку и на null.
НО, если вы попытаетесь передать параметр равный нулю, эта проверка удалит и его. Вас устраивает такое поведение?
Написано более трёх лет назад
Николай @tryvols Автор вопроса

Stalker_RED: да, вполне)

Написано более трёх лет назад
Николай @tryvols Автор вопроса

спасибо)@Stalker_RED: спасибо)

Написано более трёх лет назад
Finesse @Finesse

Чтобы ответить на вопрос, не хватает самого SQL запроса

Написано более трёх лет назад
Николай @tryvols Автор вопроса

Finesse: Запросы выглядят так:

Class CountBeforeUser {
private $_query = 'SELECT registration_id FROM queue
INNER JOIN users USING ( user_id )
WHERE queue_id = ? AND reg_time < SOME(
SELECT reg_time FROM users
WHERE code = ?
)';
private $_data = array();
private $_pdo;

public function __construct($pdo) {
$this->_pdo = $pdo;
}

public function get($queue_id) {
$this->_data[0] = $queue_id;
$this->_data[1] = $_POST['user_code'];
return $this->execute();
}

private function execute() {
$queue = $this->_pdo->prepare($this->_query);
$queue->execute($this->_data);
return $queue->rowCount();
}
}

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 1

2 комментария

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

PHP

+2 ещё

Средний
Как передать ip в Я.Метрику на сайте Битрикс?
- 1 подписчик
- 23 часа назад
- 64 просмотра
1

ответ
PHP

+1 ещё

Простой
Как исправить ошибку php?
- 1 подписчик
- вчера
- 105 просмотров
1

ответ
PHP

+1 ещё

Простой
Как отключить редирект при отправке формы?
- 1 подписчик
- вчера
- 69 просмотров
0

ответов
JavaScript

+2 ещё

Простой
Как автоматически подставлять значение в value?
- 1 подписчик
- вчера
- 150 просмотров
1

ответ
PHP

Простой
Почему не происходит заполнение фигурами?
- 1 подписчик
- вчера
- 91 просмотр
1

ответ
PHP

Простой
Как массово заменить URL на кнопках (PHP. str_replace)?
- 1 подписчик
- 16 мая
- 94 просмотра
1

ответ
JavaScript

+1 ещё

Простой
Как подключить Deepl на сайт?
- 2 подписчика
- 16 мая
- 259 просмотров
1

ответ
PHP

Простой
Php pdo почему возвращает false?
- 1 подписчик
- 16 мая
- 103 просмотра
3

ответа
JavaScript

+3 ещё

Средний
Как открыть ссылки СБП из iframe в Яндекс.Браузер с редиректом на банковское приложение на телефоне Android?
- 2 подписчика
- 16 мая
- 180 просмотров
1

ответ
PHP

+1 ещё

Средний
Связи в ООП, Агрегация в PHP как часто используется?
- 2 подписчика
- 16 мая
- 660 просмотров
3

ответа
Показать ещё Загружается…

PHP разработчик

Living Core

от 120 000 ₽

PHP разработчик

Ведисофт • Екатеринбург

от 25 000 ₽

PHP-разработчик

FunPay

от 300 000 до 500 000 ₽

Отрисовать иллюстрацию

18 мая 2024, в 21:07

5000 руб./за проект

Анализ приложения на Flutter

18 мая 2024, в 20:58

5000 руб./за проект

Немного доделать тг бота

18 мая 2024, в 20:53

500 руб./за проект

if (is_null($value) || $value == '' || empty($value)) {}
всё это можно заменить на
if (empty($value)) - empty() проверяет и на равенство пустой строку и на null.
НО, если вы попытаетесь передать параметр равный нулю, эта проверка удалит и его. Вас устраивает такое поведение?
Чтобы ответить на вопрос, не хватает самого SQL запроса
Finesse: Запросы выглядят так:

Class CountBeforeUser {
private $_query = 'SELECT registration_id FROM queue
INNER JOIN users USING ( user_id )
WHERE queue_id = ? AND reg_time < SOME(
SELECT reg_time FROM users
WHERE code = ?
)';
private $_data = array();
private $_pdo;

public function __construct($pdo) {
$this->_pdo = $pdo;
}

public function get($queue_id) {
$this->_data[0] = $queue_id;
$this->_data[1] = $_POST['user_code'];
return $this->execute();
}

private function execute() {
$queue = $this->_pdo->prepare($this->_query);
$queue->execute($this->_data);
return $queue->rowCount();
}
}

Answer 1 · 2016-04-07 01:00:29

первое и главное - mysql_escape_string - деприкэйтед. Не говоря уже о том что не гарантирует защиту. Для этого есть PDO и prepared statements. При использовани препаред - инжекшн практически исключен.

Что должно попасть в кей, что должно остаться в валуе? текст, спецсимволы? Создайте правила, например используйте регулярки.

$keyPreg = "/[A-Za-z0-9]+/";
$key = preg_match($keyPreg, $key);

Этот модуль достаточно защищает сайт от XSS и SQL injection?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт