Как правильно делать подготовленные запросы?

Question

Княшшш @fyapy

PHP
MySQL

Как правильно делать подготовленные запросы?

Хотел бы узнать правильно ли сделан запрос? И я так понял это 100% защита от sql инъекций?

$email = $_POST['r_email'];
$check_email = $db->prepare("SELECT * FROM `users` WHERE `email` LIKE ?"); 
$check_email->bind_param('s', $email);
$check_email->execute();
$res_email = $check_email->get_result();
if ( $res_email->num_rows >= 1 ) {
    $errors[] = 'Данный Email занят!';
}

Вопрос задан более трёх лет назад
66 просмотров

Комментировать

Подписаться 1 Простой Комментировать

Помогут разобраться в теме Все курсы

Skillfactory

Профессия Fullstack веб-разработчик на JavaScript и PHP

20 месяцев

Далее
Хекслет

PHP-разработчик

10 месяцев

Далее
Нетология

Веб-разработчик с нуля: профессия с выбором специализации

14 месяцев

Далее

Решения вопроса 1

5 комментариев

Княшшш @fyapy Автор вопроса

Спасибо, под валидацией вы имеете ввиду real escape string и strip tags?

Написано более трёх лет назад
Княшшш @fyapy Автор вопроса
Что-то подобное
$email = $db->real_escape_string(htmlspecialchars(strip_tags($_POST['r_email'])));
?
Написано более трёх лет назад
Княшшш @fyapy Автор вопроса

Хотя БД и без них не пропускает более 1-го запроса

Написано более трёх лет назад
Vasiliy_M @Vasiliy_M

Амир Абдуллин,
$email = $db->real_escape_string(htmlspecialchars(strip_tags($_POST['r_email'])));
НЕТ! Никогда так не пиши!! Разберись, для чего нужна КАЖДАЯ функция в этой строке, и только потом начинай программировать. И вот - phpfaq.ru/pdo - очень ценный материал по теме

Нет, входные данные от пользователь всегда необходимо валидировать/очищать.
не надо давать не правильные советы. ничего очищать не надо - подготовленные запросы справляются со своей задачей.

Написано более трёх лет назад
Immortal_pony @Immortal_pony Куратор тега PHP

Спасибо, под валидацией вы имеете ввиду real escape string и strip tags?

real_escape_string - нет.
htmlspecialchars - можно использовать для санитизации, но не бездумно.
strip_tags - можно использовать для санитизации, но не бездумно.
Каждый входящий парметр должен быть провалидирвован и очищен своим собственным образом. Из некотрых полей стоит вырезать тэги, а из некоторых - совсем нет.
Например, если вы ожидаете на вход только значения "email" или "sms", то вам надо убедиться, что пришло одно из двух этих значений, а не просто какая-то строка. Для этого есть много удобных библиотек. Например, Aura.Filter

ничего очищать не надо - подготовленные запросы справляются со своей задачей.

Vasiliy_M, Никто и никогда не даст вам 100% гарантии безопасности. Не порите чушь с умным видом.
Входящие от пользователя параметры надо проверять, проверять и еще раз проверять. После этого можно еще несколько раз проверить.
Да, задача sql-инъекции с подготовленными выражениями стала на порядок сложнее, но это не значит, что нет ничего невозможного и надо пренебрегать элементарными мерами безопасности.
И, да, есть много других векоторов атак, связанных с сохранением данных в базе, не являющихся именно sql-инъекциями.

Написано более трёх лет назад