Безопасное экранирование переменной в необработанном запросе SQL

Question

Мне просто интересно, будет ли следующее абсолютно безопасным или кто-нибудь сможет обойти его, используя шестнадцатеричные символы и т. Д .:

$name = mysql_real_escape_string(htmlentities(stripslashes($_REQUEST['name'])));
$query ="SELECT * FROM Games WHERE name LIKE '%{$name}%'";

Спасибо.

Я знаю, что могу использовать PEAR и другие библиотеки, чтобы делать готовые заявления. Однако этот вопрос касается только необработанных запросов.

Answer 1

mysql_real_escape_string делает трюк,.,

[ПРАВИТЬ]

для использования строки:

$str = mysql_real_escape_string($input);

для числовых значений приведение типадостаточно как:

$val = (int)$input;

Answer 2

Используйте параметризованные подготовленные операторы вместе с PDO, это даст вам самый безопасный способ отправки запросов, который может предложить PHP, и вам не придется вообще иметь дело с экранированием, используя этот способ

• PDO
• Параметризованные подготовленные заявления

Answer 3

Для SQL просто

$name = mysql_real_escape_string($_REQUEST['name']);
$query ="SELECT * FROM Games WHERE name LIKE '%$name%'";

достаточно.

Более того, использование htmlentities и stripslashes здесь не нужно и глючит.
Я сомневаюсь, что вы хотите искать Dankeschön вместо Dankeschön, например.

Обратите внимание , что mysql_real_escape_string, очевидно, работает только для строк в кавычках.

$num = mysql_real_escape_string($_REQUEST['num']);
$query ="SELECT * FROM Games WHERE salary > $num;

будет не помочь

Для других целей могут быть другие проверки.

Answer 4

Либо используйте параметризованный SQL, либо принудительную входную фильтрацию:

$query = "SELECT * FROM Games WHERE name LIKE '%{$_REQUEST->sql['name']}%'";

Ручное экранирование - довольно плохой стиль, потому что его слишком легко забыть.

Answer 5

mysql_real_escape_string здесь достаточно, и поскольку вы пометили его как xss, при чтении из базы данных и отображении его в html используйте htmlentities для предотвращения xss.