zabezpieczanie php/sql

Question

Elo mam pytanie czy takie "filtrowanie" wystarczy aby wykluczyć ataki przy przesyłaniu danych przy podobnym układnie kodu jak ten?

$id_produktu=$_POST['id_produkt'];
$id_produktu = addslashes($id_produktu);
$id_produktu = htmlspecialchars($id_produktu);
$ilosc=$_POST['sztuk'];
$ilosc = addslashes($ilosc);
$ilosc = htmlspecialchars($ilosc);
$cena_produktu=mysql_query("SELECT **** FROM ***** WHERE ******='$******'");
$wynik = mysql_fetch_assoc($cena_produktu);
$cena_p = $wynik['*******'];
$cena=$ilosc * $cena_p;




	$wynik = mysql_query("INSERT INTO `****` (`*****` ,`*****` ,`******` ,`*****` ,`*****`)VALUES (NULL ,  '$*****',  '$*****',  '$*****',  '$****')");

może dużo pogwiazdkowałem ale nie chce aby nazwy gdzieś wyciekły :)

Answer 1

No faktycznie dużo wygwiazdkowane. Filtracja jest, jedyne do czego by można się doczepić to sposób łączenia z bazą. Radzę zapoznać się z mysqli, bo w nowszych wersjach PHP-a będziesz miał Warninga. A w mysqli masz od razu mysqli_real_escape_string. 

Comments

zapomniałem o małpce :) wystarczy że dodam @ i po problemie nie musze zmieniać swojego stylu kodowania w którym chcę dokończyć aktualny projekt?

Bo np przy łączeniu mam @ bez niej owszem pokazywało warning

---

No ale wyciszenie warninga to chyba nie jest jednak rozwiązanie problemu. :D Poczytaj sobie tutaj dokładnie o co chodzi. 

---

tak czytałem podobne artykuły ale szczerze nie mam pojęcia jak się zabrać za to bo ja się "boje" nowych funkcji -.-

mógłbyś mi podać jakie są odpowiedniki

mysql_connect

mysql_select_db

mysql_query

te 3 wyżej wymienione jako tako oczytałem

mysql_num_rows

mysql_fetch_assoc <--- najważniejsze

bo "składnia" pytania jest taka sama tylko polecenia bym musiał pozmieniać tam gdzie musze a nie wiem jak to leci z tym programowaniem obiektywnym -.- nie znam się na tym -.-

---

mysql_connect to jest konstruktor mysqli, tzn.:
 

$connection = new mysqli('host', 'user', 'pass', 'database');

Jak widzisz nie musisz więc używać select_db, bo bazę wybierasz przy tworzeniu połączenia. Dalej mysql_query to jest metoda query na obiekcie klasy mysqli. Czyli:

$query = $connection->query("SELECT * FROM tabela");

Następna mysql_num_rows to jest atrybut obiektu zwracanego przez metode query. Czyli:

echo $query->num_rows;

I ostatnia mysql_fetch_assoc to jest metoda tego samego obiektu:

while($line = $query->fetch_assoc()) echo $line['id'];

Warto też wspomnieć, że zarówno obiekt mysqli jak i ten zwracany przez query wypadało by zamknąć na koniec skryptu:

$query->close(); $connection->close();

 

---

Wielkie Dzięki! masz oddemnie ogromnego + :)
jutro czeka mnie troszkę pracy z przebudową kodu ale tragicznie to nie wygląda zobaczę co wyjdzie ale coś czuje że się jeszcze odezwę z problem :) bo dzień bez problemu dzniem straconym ;)

---

Może dziwne ale poczytałem o PDO tak jak napisał kolega niżej i chyba wydaje się mi lepsze tak narazie poczytałem poglądowo jak wygląda kod polecenia itp :)

---

PDO równiez możesz stosować jak najbardziej. ;)

---

NIE UŻYWAJ STFU OPERATORA! tej @..!!!!!!

 

Ok? 

Ok. To teraz poczytaj sobie o PDO i łap połączenie pdo w try-catch bo jak nie złapiesz to wypluje ładnie login i hasło, dodatkowo, parametry będziesz sobie mógł zbindować i twój kod odnośnie filtrowania zmieni się w 3 wiersze :x

 

Dzięki i pozdrawiam:P

Syntax +1:>

Answer 2

Moim osobistym zdaniem, trochę za dużo tego filtru. W tym wypadku wystarczyłoby napisać:

$id_produktu=intval($_POST['id_produktu']);
$ilosc=intval($_POST['sztuk']);

skoro są to wartości liczbowe. A i tak jak napisał SyntaxError, przeżuć się na MySQLi.

Comments

W sumie masz rację ale nie zaszkodzi tak jak mam :)
jednak intval o której dopiero teraz przeczytałem przyda mi sięprzy tablicy GET przy paginacji :)

Answer 3

Błagam. Nigdy nie zaczynaj tematu od "Elo"...

Wtedy mam dziwne wyobrażenie osoby która siedzi po tamtej stronie monitora.

A dokładnie wyobrażam sobie chłopaka w czapce z daszkiem, który liże lizaka, ma kręcone włosy, rude i jest pyzowaty. 

Serio.

Pozdrawiam. :-)

 

Comments

Dobez postaram się używać bardziej oczywistego i kulturalnego języka :)
A co sądzisz o takiej filtracji jest wystarczająca? nic nie pożądanego nie powinno tutaj wejść tak mi sięnajwyżej wydaje :)

---

Za dużo oraz bra real_escape.

przesiądź się na pdo.

---

Dzięki za podpowiedź przejrzałem poglądowo PDO na wikipedii

http://pl.wikibooks.org/wiki/PHP/Biblioteka_PDO

i wydaje się do ogarnięcia :)

---

Jest proste.

Answer 4

Po co tyle gwiazdek w zapytaniu? Ja zawsze używam jednej, czy to źle?

Comments

Czytaj co autor napisał.

---

Przeczytałem, że nie chce żeby nazwy gdzieś wyciekły, ale nadal nie rozumiem co to da.

---

Generalnie to nic nie powinno, ale jeżeli ktoś by przeglądnął tą stronę a on wystawił na zewnętrzny świat już  swoje dzieło, to  jak by nie patrzył  potencjalny agresor ma nazwy tabel i cały kod zabezpieczający- wie jakie są luki,

---

faktycznie źle zrozumiałeś te gwiazdki chodziło o to abyś np Ty nie dowiedział sięjakie mam nazwy tabel taki tam + do bezpieczeństwa pytanie nie dotyczyło gwiazdek tylko ogólnego wyglądu kodu :) jakoś uwazam że nie powinno się podawać swoich nazw publicznie a niektórzy tak robia później podając nawet adres swojej strony a co wtedy jeżeli ma jakąś banalną lukę tak jak napisał kolega wyżej trafi na takiego co go nie poinformuje a ro***** mu cały projekt....