Question

У меня есть класс очистки, который я запускаю прежде всего на каждой странице моего сайта. Я почти уверен, что addlashes - это то же самое, что экранирование с mysql_real_escape_string, вот класс.

class sanatize
{
private static $singleton;

function __construct(){

    $_CLEAN_POST = array();
    $_CLEAN_GET = array();
    $_CLEAN_REQUEST = array();

    foreach($_REQUEST as $key => $value)
    {
        $key = addslashes(trim(strip_tags($key)));
        $value = addslashes(trim(strip_tags($value)));

        $_CLEAN_REQUEST[$key] = $value;
    }
    foreach($_GET as $key => $value)
    {
        $key = addslashes(trim(strip_tags($key)));
        $value = addslashes(trim(strip_tags($value)));

        $_CLEAN_GET[$key] = $value;
    }
    foreach($_POST as $key => $value)
    {
        if(is_array($value)){
            foreach($value as $key2 => $value2){

                $key2 = addslashes(trim(strip_tags($key2)));
                $value2 = addslashes(trim(strip_tags($value2)));

                $_CLEAN_POST[$key][$key2] = $value2;
            }
        }
        else{
            $key = addslashes(trim(strip_tags($key)));
            $value = addslashes(trim(strip_tags($value)));

            $_CLEAN_POST[$key] = $value;
        }
    }
    $_POST = array();
    $_GET = array();
    $_REQUEST = array();

    $_POST = $_CLEAN_POST;
    $_GET = $_CLEAN_GET;
    $_REQUEST = $_CLEAN_REQUEST;
}
function __destruct()
{
    //echo "cleaned";
}

public static function getInstance()
{
    if(is_null(self::$singleton))
    {
        self::$singleton = new sanatize();
    }
    return self::$singleton;
}
}

а потом я позвоню, используя

$sanatize = sanatize::getInstance();

Matthew Flaschen · Answer 1 · 10 ноября 2010

«Я почти уверен, что addlashes - это то же самое, что экранировать с помощью mysql_real_escape_string, вот класс.»

Во-первых, это не так.mysql_real_escape_string знает о соединении и принимает во внимание набор символов этого соединения.

Во-вторых, вы в основном копируете неудачный magic_quotes дизайн.Не все эти поля входят в базу данных, поэтому вы выполняете ненужную работу.Вы также должны быть осторожны, чтобы никогда не экранировать что-либо в «чистом» массиве;Двойное экранирование - очень распространенная проблема.

На мой взгляд, самое простое решение SQL-инъекции - это подготовленные операторы.Я рекомендую использовать PDO или mysqli.

РЕДАКТИРОВАТЬ: Поскольку вы уже используете mysqli, вы должны забыть об этой идее CLEAN, и простоиспользуйте MySQLi_STMT.mysqli::prepare дает пример того, как создавать и связывать переменные с подготовленным оператором.Обратите внимание на ? заполнитель.Также посмотрите на mysqli_stmt::bind_param.

Защищает ли этот php-код от внедрения SQL и XSS?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Защищает ли этот php-код от внедрения SQL и XSS?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы