Правильная ли php-функция фильтрации post данных перед записью в mysql?

Question

[raxweb]

Отфильтрует ли такая функция все опасные конструкции (XSS, инъекции и подобное)?

Или необходимо еще что-то добавить?

function filter_text_form ($text)
{
$text = strip_tags ($text);//вырезаем HTML теги

$text = str_replace ("'", ''', $text);
$text = str_replace ('"', '"', $text);
$text = str_replace ("`", ''', $text);
$text = str_replace ('«', '«', $text);
$text = str_replace ('»', '»', $text);
$text = str_replace ("′", ''', $text);
$text = str_replace ('″', '"', $text);
$text = str_replace ("‘", ''', $text);
$text = str_replace ("’", ''', $text);
$text = str_replace ("‚", ',', $text);
$text = str_replace ('“', ''', $text);
$text = str_replace ('”', ''', $text);
$text = str_replace ('„', ',', $text);

$text = str_replace ('  ', ' ', $text);//двойной пробел
$text = str_replace ('%', '', $text);
$text = str_replace ("\\", '-', $text);//обратный слеш
$text = str_replace ('<', '&lt;', $text);
$text = str_replace ('>', '&gt;', $text);

$text = str_ireplace ('union', '', $text);
$text = str_ireplace ('char', '', $text);
$text = str_ireplace ('get', '', $text);
$text = str_ireplace ('select', '', $text);
$text = str_ireplace ('update', '', $text);
$text = str_ireplace ('group', '', $text);
$text = str_ireplace ('order', '', $text);
$text = str_ireplace ('benchmark', '', $text);
$text = str_ireplace ('connect', '', $text);

connect_db(); $text = mysql_real_escape_string ($text);

return $text;
}

Answer 1

[Андрей]

используйте подготовленные запросы (prepare) и подстановку значений на стороне сервера.

php pdo prepare execute

Comments

[raxweb]

Наверное, один из лучших вариантов. Но есть ли способ добавить в функцию filter_text_form несколько строчек и на 100% обезопаситься от опасных конструкций?

[FanatPHP]

нет

[Андрей]

raxweb, если не собираетесь искать конструкциям типа like '%100500%', то замените все-все на \base64_encode при записи и _decode при чтении.

[raxweb]

Андрей, отличный вариант. Реально ничего не проскочит. Возьму способ на заметку.

Но в моем случае необходимо в базе хранить читаемые тексты, т.к. используется like '%кусочек_текста%'.

Answer 2

[FanatPHP]

Глядя на этот ужас, летящий на крыльях ночи, я всегда задаюсь вопросом: допустим, автор захочет написать аналог тостера. Что будет с текстом его вопроса после обработки такой функцией?

По поводу того, что сюда добавить:

В ужасе стереть все что что тут написано.
Прочитать раз в жизни документацию и забыть про mysql_real_escape_string как про страшный сон.
Включить голову, и сообразить, что mysql не подвержена XSS. То есть при записи в базу данных от этой атаки защищаться не нужно.
Освоить PDO, и использовать подготовленные выражения для работы с базой данных.

Comments

[raxweb]

> допустим, автор захочет написать аналог тостера

На сайте с этой функцией есть только единственная форма добавления данных от пользователей. И в текстах нужен только перенос.

[FanatPHP]

ну то есть ты считаешь, что тостер от атак не защищен? Без такой функции, как твоя, превращающей её текст в набор одинаковых строчек $text = str_ireplace ('', '', $text); его может поломать каждый школьник?

[raxweb]

> Без такой функции, как твоя, превращающей её текст в набор одинаковых строчек

:)

Конечно, в рамках тостера функция зафильтровала бы много нужного.

Но в рамках именно моего сайта отлично было бы решить вопрос фильтрации данных вот такой функцией. Мне в текстах от пользователей нужны только буквы и переносы.

[FanatPHP]

ясно. пациент неизлечим.

[raxweb]

FanatPHP, если нет способа добавить несколько строчек в функцию и на 100% обезопасить сайт, то буду изучать PDO.

У меня есть магазин на движке shop-script premium. Около 3-х лет назад его начали периодически ломать. В логах обнаружил примерно такие запросы: union, select, connect. Включил фильрацию подобных запросов и взломы прекратились.

В DLE на данный момент одна из функций фильтрации входящих данный состоит из одной строчки, примерно:

connect_db(); $text = mysql_real_escape_string ($text);

[Северное Сияние]

raxweb, советую поглубже спрятать свое мнение и очень внимательно читать то, что говорит тебе FanatPHP

Answer 3

[Северное Сияние]

Или необходимо еще что-то добавить?

включить мозги и начать читать профильные сайты с азов. полное непонимание абсолютно всего. и как тут верно подметили - "В ужасе стереть все что что тут написано."