Не получается сделать защиту от SQL атак. Почему?

Question

[ВладиМИР]

Вот код ниже где инсерт в SQL запросе не могу защитить часть кода от аттак:

if(isset($_SESSION['id']))
 {
 

 if(mysqli_num_rows($ses)>0)
 {
	 	 

 
  $result=mysqli_prepare($bd, "UPDATE session SET putdate = NOW() WHERE idpolzzz=? ");
 mysqli_stmt_bind_param($result, 'i', $id ); 
 mysqli_stmt_execute($result);
 
 }
 
 
 
 // Иначе, если такого номера нет - посетитель только что
 // вошёл - помещаем в таблицу нового посетителя
 else
 {
 $query = "INSERT INTO session VALUES('$id', NOW())";
 
 

 
 if(!mysqli_query($bd, $query))
 {
 echo "<p>Ошибка при добавлении пользователя</p>";
 exit();
 }
 }
 }

Answer 1

[Daria Motorina]

Для надежной защиты от инъекций используйте PDO, mysqli уже устарело.

Comments

[DevMan]

mysqli НЕ устарело.
но pdo удобнее.

[Антон Шаманов]

Вы mysqli с mysql перепутали и PDO заведомо медленнее

[FanatPHP]

Как всегда, первый по делу, а остальные пересказывают свои шизоидные фантазии - один про "медленно", второй про "нет панацеи". АААА, мы все умрем!

Answer 2

[Антон Шаманов]

Данные в тексте запроса должны быть правильно экранированы.

https://www.php.net/manual/ru/mysqli.query.php

Answer 3

[AUser0]

И никакой проверки на валидность строки в $_SESSION['id']? И нет защиты от иньекции при выполнении SQL-запроса с INSERT-ом?

Comments

[ВладиМИР]

я видоизменял код с инсерт для защиты от иньекций:

$query=mysqli_prepare($bd, "INSERT INTO session VALUES(?, NOW())");
 mysqli_stmt_bind_param($query, 'i', $id ); 
 mysqli_stmt_execute($query);
 
 if(!mysqli_query($bd, $query))  // 75 cтрока

но мне выдавал ошибку:
Warning: mysqli_query() expects parameter 2 to be string, object given in G:\home\localhost\subdomain\shablon\polzovateli.php on line 75
Я не знаю как упростить это условие в 75 строке

[ВладиМИР]

О какой валидности по сессии? Пользователь зашел на сайт, его уникальный id занесся в сессию, если он у него имеется в отличие от не зарегистрированных пользователей то фрагмент кода выполняется, если в сессии нет его id то он не зарегистрирован следовательно не может писать сообщения оставлять Коментарии и добавляться в таблицу с зарегистрированными пользователями.

[FanatPHP]

ВладиМИР (о__О), оно тебе не нужно. Его надо не упростить, а выкинуть. Ты уже выполнил запрос