Question

Я использую следующий скрипт, который берет данные из HTML-формы и сохраняет их в базе данных Postgres.Есть эта функция pg_escape_string, которая сохраняет значение из формы в переменную php.Просматривая веб-страницы, я обнаружил, что pg_escape_string экранирует строку для вставки в базу данных.Я не очень ясно об этом.Что это на самом деле избежать?Что на самом деле происходит, когда говорится, что строка экранирована?

<html>
   <head></head>
   <body>       

 <?php
 if ($_POST['submit']) {
     // attempt a connection
     $dbh = pg_connect("host=localhost dbname=test user=postgres");
     if (!$dbh) {
         die("Error in connection: " . pg_last_error());
     }

     // escape strings in input data
     $code = pg_escape_string($_POST['ccode']);
     $name = pg_escape_string($_POST['cname']);

     // execute query
     $sql = "INSERT INTO Countries (CountryID, CountryName) VALUES('$code', '$name')";
     $result = pg_query($dbh, $sql);
     if (!$result) {
         die("Error in SQL query: " . pg_last_error());
     }

     echo "Data successfully inserted!";

     // free memory
     pg_free_result($result);

     // close connection
     pg_close($dbh);
 }
 ?>       

    <form action="<?php echo $_SERVER['PHP_SELF']; ?>" method="post">
      Country code: <br> <input type="text" name="ccode" size="2">  
      <p>
      Country name: <br> <input type="text" name="cname">       
      <p>
      <input type="submit" name="submit">
    </form> 

   </body>
 </html>

Ryan Culpepper · Answer 1 · 01 сентября 2011

Рассмотрим следующий код:

$sql = "INSERT INTO airports (name) VALUES ('$name')";

Теперь предположим, что $name равно "Chicago O'Hare". Когда вы выполняете интерполяцию строк, вы получаете этот код SQL:

INSERT INTO airports (name) VALUES ('Chicago O'Hare')

неправильно сформирован, потому что апостроф 1010 * интерпретируется как кавычка SQL , и ваш запрос выдаст ошибку.

Могут случиться и худшие вещи . Фактически, SQL-инъекция была оценена MITRE # 1 Самой опасной ошибкой программного обеспечения 2011 .

Но вы все равно не должны создавать SQL-запросы с использованием строковой интерполяции. Вместо этого используйте запросы с параметрами .

$sql = 'INSERT INTO airports (name) VALUES ($1)';
$result = pg_query_params($db, $sql, array("Chicago O'Hare"));

Что именно делает pg_escape_string?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Что именно делает pg_escape_string?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов