Возможно ли в php закомментить кавычку с помощью решётки(#)?

Question

[fapchat]

what if someone enters the following for $user (admin' #) (and
doesn’t even enter anything for $pass )?

SELECT * FROM users WHERE user='admin' #' AND pass='password'

Возможен ли такой сценарий?У меня в php7.3.10 закрывающая ковычка не комментиться внутри её строки.

И если так возможно сделать, тогда как убрать символ коммента из php?

Comments

[Дмитрий]

В запросах вроде два минуса комент

[green_goo]

Дмитрий, а если не "вроде"? На примере mysql

MySQL Server supports three comment styles

https://dev.mysql.com/doc/refman/8.0/en/comments.html

Answer 1

[FanatPHP]

И если так возможно сделать, тогда как убрать символ коммента из php?

НИКАК
Надо не символы убирать, а запросы нормально писать, чтобы ниакие символы не мешали.

Я же тебе давал ссылку, где написано, что делать. А ты опять всякую дурь читаешь.

Comments

[fapchat]

мне просто интересно, при чём тут какие-то ссылки. я просто задаю вопрос, и я привык дочитывать начатое

[FanatPHP]

согласен.
В общем, коммент - это один из миллиарда воможных вариантов инъекции.
сработает только если запрос многострочный.

но повторюсь, с точки зрения защиты нам безразлично, есть коммент или нету.

Answer 2

[green_goo]

У меня в php7.3.10 закрывающая ковычка не комментиться внутри её строки.

Запросы у тебя тоже php выполняет? Или все же есть еще и БД, для которой этот запрос предназначен. И если в этот запрос прямо подставлять данные, полученные извне, то может быть больно, о чем и намекается в вопросе

Answer 3

[BATPYIIIKOB]

Поставь два слеша и не парься. //
Не понял зачем её коммитить. Может проще передать {$un_temp} ?

Comments

[Valeron Sergeev]

так суть то в том, что типа "А что если пользователь введет $user admin'# и ничего в pass?" т.е. остальная часть запроса будет закомментирована))) т.е. в $un_temp будет строка admin'# вот он и спрашивает как этот комментарий убрать:D

[fapchat]

Valeron Sergeev, да, тут челики как-то неправильно меня поняли...

[BATPYIIIKOB]

fapchat, т.к. ты неправильно составил вопрос. А ответ такой:
прежде чем добавить данные в запрос ВСЕГДА ты должен их вначале проверить!!!! Сделай нормальную валидацию! И не изобретай всякую ерунду.
Пароль передавай и сверяй в шифрованном виде - всегда!!!!

[BATPYIIIKOB]

Valeron Sergeev,
trim, stripslashes, strip_tags, htmlspecialchars - прочитай про них в документации.

[BATPYIIIKOB]

fapchat, вдогонку

function ProcessText($text)
{
    $text = trim($text); // удаляем пробелы по бокам
    $text = stripslashes($text); // удаляем слэши
    $text = htmlspecialchars($text); // переводим HTML в текст
    $text = preg_replace("/ +/", " ", $text); // множественные пробелы заменяем на одинарные
    $text = preg_replace("/(\r\n){3,}/", "\r\n\r\n", $text); // убираем лишние переводы строк (больше 1 строки)
    $test = nl2br ($text); // заменяем переводы строк на тег
    $text = preg_replace("/^\"([^\"]+[^=><])\"/u", "$1«$2»", $text); // ставим людские кавычки
    $text = preg_replace("/(«){2,}/","«",$text); // убираем лишние левые кавычки (больше 1 кавычки)
    $text = preg_replace("/(»){2,}/","»",$text); // убираем лишние правые кавычки (больше 1 кавычки)      
    $text = preg_replace("/(\r\n){2,}/u", "</p><p />", $text); // ставим абзацы
    return $text; //возвращаем переменную
}

или

$text = preg_replace('/([?!:^~|@№$–=+*&%.,;\[\]<>()_—«»#\/]+)/', '', $text); // удаляем недоспустимые символы

[fapchat]

Евгений Прозоров, спасибо

[Кирилл Несмеянов]

прежде чем добавить данные в запрос ВСЕГДА ты должен их вначале проверить!!!!

Евгений Прозоров, эм, зачем проверять? Уже давно изобрели prepared stetements, где ничего проверять и экранировать особо не надо.

[BATPYIIIKOB]

Кирилл Несмеянов, в запросе автора вы наблюдаете связываемые переменные?

[FanatPHP]

Евгений Прозоров, сделай доброе дело, сотри этот ад, который ты тут понаписал.

[Valeron Sergeev]

Евгений Прозоров, зачем? я то и так знаю) да и для работы с базой есть еще такие функции как
mysql_real_escape_string(), sqlite_escape_string(), mysqli::real_escape_string, mysqli::escape_string, т.е. в тех функциях, которые ты написал, зачастую нет необходимости