Кавычки в SQL вызывает проблемы

Question

У меня есть простое текстовое поле ввода HTML в очень простой форме. информация из этой формы передается в базу данных mysql со строкой sql.

Все работает гладко, кроме случаев, когда кто-то печатает "или". Я не хочу ограничивать пользователей тем, что они могут печатать.

Должен ли я найти и заменить строку перед тем, как выполнить запрос к базе данных?

Есть ли простой способ?

вот код:

<?php
session_start();
if (empty($_SESSION['user']) && empty($_REQUEST['form'])) //check this code!!1
{
    exit;
}
if (isset($_REQUEST['Submit']))
{
    //echo "Let's process this form!";
    include "config.php";
    include "mail.php";
    if ($_REQUEST['form'] == "profile")
    {//public profile
        //print_r($_REQUEST);
        //"UPDATE `tims`.`pending_profile` SET `nickname` = 'I Don''t Have One' WHERE `pending_profile`.`id` = 1;";
        $sql = "INSERT INTO `tims`.`pending_profile`"
                . "(`id`, `nickname`, `location`, `role`, `yog`, `interests`, `favMoment`, `gainThisYr`, `futurePlans`, `bio`) \n"
                . "VALUES ('" . $_SESSION['id'] . "', '" . $_REQUEST['nickname'] . "', '" . $_REQUEST['town'] . "', '" . $_REQUEST['role'] . "', '" . $_REQUEST['yog'] . "', '" . $_REQUEST['interests'] . "', '" . $_REQUEST['fav_moment'] . "', '" . $_REQUEST['gain'] . "', '" . $_REQUEST['future'] . "', '" . $_REQUEST['bio'] . "')\n"
                . "ON DUPLICATE KEY UPDATE nickname ='" . $_REQUEST['nickname'] . "', location='" . $_REQUEST['town'] . "', role= '" . $_REQUEST['role'] . "', yog='" . $_REQUEST['yog'] . "', interests='" . $_REQUEST['interests'] . "', favMoment='" . $_REQUEST['fav_moment'] . "', gainThisYr='" . $_REQUEST['gain'] . "', futurePlans='" .       $_REQUEST['future'] . "', bio='" . $_REQUEST['bio'] . "'\n";  
        $qry = mysql_query($sql) or die(mysql_error());

//@todo overlay this
//http://flowplayer.org/tools/overlay/index.html
        //send mail to moderators
        include "vars.php";
        $to = $captMail;
        $prof = implode("\n", $_REQUEST);
        $subject = "Moderation Needed";
        $body = $_SESSION['fullname'] . " Has just changed their public profile.\n" .
                "Please login here to moderate their changes:\n" .
                //"http://team2648.com/OPIS/login.php?page=manage".
                "http://www." . $sysurl . "/login.php?page=manage\n" .
                "Best,\n" .
                "Blake\n\n\n" .
                "Click here to accept the profile bleow\n\n" .
                "http://www." . $sysurl . "/login.php?page=manage&acceptID=".$_SESSION['id']."\n" .
                $prof;
        mailer($to, $subject, $body);
        $to = $mentorMail;
        mailer($to, $subject, $body);

        echo "<link href=\"../css/styling.css\" rel=\"stylesheet\" type=\"text/css\" media=\"screen\" />";
        echo "<div class =\"widget\" style=\"width:350px\">";
        echo "Your changes have been saved, they will not go live until reviewed by a moderator";
        echo "<br>";
        echo "<a href=\"../\">Click here to continue</a>";
        echo "</div>";
    }
    exit;
}
$sql = "SELECT * FROM `pending_profile` WHERE id ='" . $_SESSION['id'] . "'";
$qry = mysql_query($sql) or die(mysql_error());
$row = mysql_fetch_assoc($qry);
?>
<!--<h3>Use this page to manage your profile information</h3>-->
<h4>Public Profile</h4>
<strong>NOTE:</strong> Fields filled with [NONE] will not show on the website.
<br />
<form id="profile" name="profile" method="get" action="lib/preview.php">
    <input type="hidden" value="profile" name="form">
    <input type="hidden" value="<?php echo $_SESSION['id']; ?>" name="id">
    <table>
        <tr>
            <td><label for="myname">Hello, My name is:</label><td>
            <td><input type="text" readonly="readonly" name="myname" value="<?php echo $_SESSION['firstname']; ?>"/><td>
        </tr>
        <tr>
            <td><label for="nickname">But I like to be called:</label><td>
            <td><input type="text" name="nickname" value="<?php echo $row['nickname']; ?>"/><td>
        </tr>
        <tr>
            <td><label for="town">I live in:</label><td>
            <td><input type="text" name="town" value="<?php echo $row['location']; ?>"/><td>
        </tr>
        <tr>
            <td><label for="role">My role on the team is:</label><td>
            <td><input type="text" name="role" value="<?php echo $row['role']; ?>"/><td>
        </tr>
        <tr>
            <td><label for="yog">I will graduate High School in:</label><td>
            <td><input type="text" name="yog" value="<?php echo $row['yog']; ?>"/><td>
        </tr>
        <tr>
            <td><label for="interests">Some of my interests are:</label><td>
            <td><input type="text" name="interests" value="<?php echo $row['interests']; ?>"/><td>
        </tr>
        <tr>
            <td><label for="fav_moment">One of my favorite team moments:</label><td>
            <td><input type="text" name="fav_moment" value="<?php echo $row['favMoment']; ?>"/><td>
        </tr>
        <tr>
            <td><label for="gain">I would like to gain the following this year:</label><td>
            <td><input type="text" name="gain" value="<?php echo $row['gainThisYr']; ?>"/><td>
        </tr>
        <tr>
            <td><label for="future">My future plans include:</label><td>
            <td><input type="text" name="future" value="<?php echo $row['futurePlans']; ?>"/><td>
        </tr>
        <tr>
            <td><label for="bio">My Bio:</label><td>
            <td><textarea name="bio" ><?php echo $row['bio']; ?></textarea><td>
        </tr>
    </table>
    * All fields are required.
<?php
include "disclaimer.php";
// @todo add js validation of all fields filled in
?>
    <br><input type="submit" name="Submit" value=" I Agree, Preview "/>

</form>

Answer 1

Ваш код заполнен возможности ввода SQL . Изучите PDO с подготовленными заявлениями . Или, по крайней мере, mysql_real_escape_string . Не используйте свой код.

Кроме того ...

Не используйте $ _REQUEST. Используйте соответствующий глобальный $ _POST или $ _GET. GET-запросы не должны ничего менять, поэтому вы должны использовать $ _POST.

Answer 2

Всегда используйте параметризованные запросы при доступе к базе данных. Построение динамических операторов SQL в процессе работы - это приглашение к атакам с использованием SQL-инъекций (а также к ошибкам, которые вы видите.)

В PHP код для этого выглядит как

$mysqli = new mysqli('localhost', 'my_user', 'my_password', 'world');
$stmt = $mysqli->prepare("INSERT INTO CountryLanguage VALUES (?, ?, ?, ?)");
$stmt->bind_param('sssd', $code, $language, $official, $percent);

(бесстыдно взято из руководства по PHP).

Answer 3

Вы должны использовать функцию mysql_real_escape_string на всех ваших пользовательских вводах перед тем, как поместить их в базу данных.

Например:

изменить $_REQUEST['nickname'] на mysql_real_escape_string($_REQUEST['nickname'])

В качестве альтернативы используйте подготовленные операторы .

Answer 4

Как уже упоминали другие люди, вам нужно обрабатывать буквенные кавычки в ваших строках, иначе вы подвержены атакам SQL инъекция .

См. Мою презентацию Мифы и ошибки SQL-инъекций для получения дополнительных примеров и решений.

Использование параметров запроса - эффективная защита, и на самом деле ее проще писать и внешний вид вашего кодалучше.Я рекомендую использовать PDO, потому что он позволяет использовать именованные параметры.

Также рассмотрите возможность использования синтаксиса heredoc PHP , чтобы упростить написание кода SQL, не беспокоясь обо всех двойных кавычках и конкатенационных строках.

$sql = <<<END_SQL
INSERT INTO `tims`.`pending_profile`
(`id`, `nickname`, `location`, `role`, `yog`, `interests`, `favMoment`,
 `gainThisYr`, `futurePlans`, `bio`)
VALUES (:id, :nickname, :town, :role:, :yog, :interests, :fav_moment, 
 :gain, :future, :bio)
ON DUPLICATE KEY UPDATE
  nickname    = :nickname,
  location    = :town,
  role        = :role,
  yog         = :yog,
  interests   = :interests,
  favMoment   = :fav_moment,
  gainThisYr  = :gain,
  futurePlans = :future,
  bio         = :bio
END_SQL;

$stmt = $pdo->prepare($sql);
$success = $stmt->execute(array(
    ':id'         => (int) $_SESSION['id'],
    ':nickname'   => $_POST['nickname'],
    ':town'       => $_POST['town'],
    ':role'       => $_POST['role'],
    ':yog'        => $_POST['yog'],
    ':interests'  => $_POST['interests'],
    ':fav_moment' => $_POST['fav_moment'],
    ':gain'       => $_POST['gain'],
    ':future'     => $_POST['future'],
    ':bio'        => $_POST['bio'],
));

примечание: Я изменил $ _REQUEST на $ _POST, потому что вы никогда не должны использовать GET-запрос, который изменяет ваши данные.Поисковые системы переходят по ссылкам, поэтому вы можете обнаружить, что Google сканирует ваш сайт и непреднамеренно изменяет вашу базу данных.Всегда используйте POST-запросы, когда действие собирается сохранить или изменить что-либо.

Для простых случаев вам даже не нужно использовать параметры, если вы можете привести свою переменную в нечто безопасное для использования, напримеробычное целое число:

$id = (int) $_SESSION['id'];
$sql = "SELECT * FROM `pending_profile` WHERE id = {$id}";
$stmt = $pdo->query($sql);
$row = $stmt->fetch();

Помимо риска внедрения SQL, ваш код также полон другого типа риска безопасности, называемого Межсайтовый скриптинг или XSS.Это происходит, когда вы выводите пользовательский контент в вывод HTML, без экранирования символов, которые являются особыми для HTML, например < или &.Злоумышленники могут причинить вред, введя свое имя, включая код JavaScript.

Исправление для XSS в основном заключается в использовании htmlentities() для всего, что вы выводите, если оно могло быть получено из пользовательского ввода или любого другого ненадежного источника (например, чтение из базы данных, файла или веб-службы).).

<td><input type="text" name="nickname" value="<?php echo htmlentities($row['nickname']); ?>"/><td>

Вам действительно нужно изучить эти недостатки безопасности, если вы пишете код для Интернета.Они являются источником многих проблем в Интернете.См. OWASP или SANS Top 25 самых опасных программных ошибок .

Answer 5

Вы будете побеждены за то, что не очистили переменные из вашей формы, прежде чем вставлять их в свою БД.

Руководство по PHP содержит примеры фильтрации / очистки здесь ...

http://php.net/manual/en/filter.filters.sanitize.php

Другой популярный подход, так как вы используете php и mysql, выглядит примерно так ...

$var = mysql_real_escape_string($_POST['var']);

Подробнее здесь:

http://php.net/manual/en/function.mysql-real-escape-string.php

Надеюсь, это поможет.

Answer 6

Попробуйте использовать mysql_real_escape_string () ;

Answer 7

Вы также можете использовать (int), если $_POST переменная должна быть числом.

Answer 8

Везде, где вы используете значение, которое может иметь кавычки, используйте метод addslashes($mystringwithquotes) для добавления косой черты перед кавычками.

Убедитесь, что вы не поместили это вокруг полной строки SQL, поскольку вы все еще хотите оставить те, которые вам нужны.

Например, в вашем коде:

    $sql = "INSERT INTO `tims`.`pending_profile`" 
                . "(`id`, `nickname`, `location`, `role`, `yog`, `interests`, `favMoment`, `gainThisYr`, `futurePlans`, `bio`) \n" 
                . "VALUES ('" . $_SESSION['id'] . "', '" . $_REQUEST['nickname'] . "', '" . $_REQUEST['town'] . "', '" . $_REQUEST['role'] . "', '" . $_REQUEST['yog'] . "', '" . $_REQUEST['interests'] . "', '" . $_REQUEST['fav_moment'] . "', '" . $_REQUEST['gain'] . "', '" . $_REQUEST['future'] . "', '" . $_REQUEST['bio'] . "')\n" 
                . "ON DUPLICATE KEY UPDATE nickname ='" . $_REQUEST['nickname'] . "', location='" . $_REQUEST['town'] . "', role= '" . $_REQUEST['role'] . "', yog='" . $_REQUEST['yog'] . "', interests='" . $_REQUEST['interests'] . "', favMoment='" . $_REQUEST['fav_moment'] . "', gainThisYr='" . $_REQUEST['gain'] . "', futurePlans='" .       $_REQUEST['future'] . "', bio='" . $_REQUEST['bio'] . "'\n";   
        $qry = mysql_query($sql) or die(mysql_error()); 

Вы хотите поместить его в значения addslashes($_SESSION['id']), addslashes($_SESSION['nickname']) и т. Д., Но НЕ вокруг

   $sql = "INSERT INTO `tims`.`pending_profile`" 

Answer 9

Для будущих людей это сработало для меня

string addslashes ( string $str )

(PHP 4, PHP 5, PHP 7) addlashes - строка с кавычками

Возвращает строку с обратными слешами перед символами, которые необходимо экранировать. Это символы одинарных кавычек ('), двойных кавычек ("), обратной косой черты () и NUL (байт NULL). Читать дальше

<?php
$str = "Is your name O'Reilly?";

// Outputs: Is your name O\'Reilly?
echo addslashes($str);
?>

Answer 10

Используя традиционные «простые» (не параметризованные) запросы, вы должны следовать 3 правилам

• все строки (указанные части данных) должны быть экранированы
• все числа должны быть приведеныв явном виде
• все идентификаторы или операторы должны быть выбраны из ранее определенных вариантов.

Вы также можете использовать некоторую вспомогательную функцию для автоматической сборки вашего запроса.

function dbSet($fields,&$source) {
  $set='';
  foreach ($fields as $field) {
    if (isset($source[$field])) {
      $set.="`$field`='".mysql_real_escape_string($source[$field])."', ";
    }
  }
  return substr($set, 0, -2); 
}

но ваш код слишком грязный, чтобы сделать из него рабочий пример.
Вот фиктивный

$fields = explode(" ","name surname lastname address zip fax phone");
$query  = "INSERT INTO $table SET ".dbSet($fields, $_POST);