Zabezpieczanie kodu przed wstrykiwaniem sql

Question

Witam

Mam pytanie, czy poniższy kod może całkowicie unieszkodliwić włamanie przez wstrzykiwanie sql?
Jak są jakieś błędy ortograficzne to proszę nie zwarzać uwagi :)

$text = str_replace("'", "'", $text);
$text = str_replace('"',""", $text);

$bla = $polaczenie->query("SELECT * FROM uzytkownicy WHERE user='$text'");

 

Comments

Patrz co podesłał Comandeer.

Answer 1

Ten kod przed niczym nie zabezpiecza...

Prepared statements, tyle w temacie: http://stackoverflow.com/questions/60174/how-can-i-prevent-sql-injection-in-php/60496#60496

Answer 2

Podępne się pod pytanie kolegi, żeby nie tworzyć kolejnego tematu na forum. Przeglądałem link podesłany przez Comandeera i tam zmienne są przekazywane w funkcji execute w postaci tablicy. Moje pytanie brzmi czy bindowanie zmienych przez bindParam też jest poprawne, czy tylko używać bindowania w execute ??

Comments

W execute każdy parametr domyślnie traktowany jest jako PDO::PARAM_STR.

Answer 3

Lepiej użyj Htmlentities i stałej ENT_QUOTES

Comments

A jak to niby zabezpiecza przed SQLi?

---

Zamienia np. myślniki i cudzysłowia na ciągi innych znaków które nie są elementami składni mysql https://www.w3.org/wiki/Common_HTML_entities_used_for_typography

---

Ok, to teraz szybki przykład SQLi na Twój sposób.

Baza danych:

CREATE TABLE `test` (
  `test` int(11) NOT NULL,
  `test2` int(11) NOT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci;

INSERT INTO `test` (`test`, `test2`) VALUES
(1, 0),
(2, 0),
(3, 0),
(4, 0),
(5, 0);

Kod PHP:

<?php
$test = htmlentities( '\\', ENT_QUOTES );
$test2 = htmlentities( ' OR 1=1 #', ENT_QUOTES );

var_dump($esc);
$db = new mysqli('localhost', 'root', '', 'test');
$s = "SELECT * FROM test WHERE test = '" . $test . "' AND test2 = '" . $test2. "'";
var_dump( $s );
$q = $db->query( $s );

while( $r = $q->fetch_assoc() ) {
	var_dump( $r );
}

Wniosek: o kant stołu se można potłuc to całe htmlentities.