Bezpieczeństwo, SQL, PHP

Question

Cześć, zaprogramowałem stronę internetową z wieloma możliwościami jedną z nich jest zalogowanie się i komentowanie postów. Jak właściwie sprawdzić czy na pewno wszystko jest bezpieczne i nikt nie zniszczy mi stronki wpisując kod w formularzu, czy też nie zastosuje wstrzykiwania SQL?

Czy funkcje które użyłem wystarczą?

• sprintf($sql, mysqli_real_escape_string($polaczenie,$zmienna));

• mysqli_real_escape_string($polaczenie, $zmienna)

• htmlentities($zmienna, ENT_QUOTES, "UTF-8");

Dodatkowo, dla wszystkich pól z wyjątkiem hasła, użyłem opcję "pattern". Na przykład:

<input type="text" name="login" placeholder="e-Mail" maxlength="60" pattern="[a-zA-ZąęółśżźćńĄĘÓŁŹŻŹĆŃ@0-9.]{3,125}" oninvalid="alert(\'Wpisz prawidłowy adres e-Mail!\')" />

 

Answer 1

Wystarczy jedno: użyć bindowania wartości. Dzięki temu samo zapytanie przesyłane jest do bazy osobno i wartości osobno, przez co nie ma możliwości wykonania ataku sql injection.

Edit: chociaż htmlentities możesz sobie zostawić, jeśli będą pobierane jakieś dane, które później będziesz wyświetlał gdzieś na stronie - dzięki temu gdy ktoś wrzuci kod HTML to nie zostanie zinterpretowany. Zależy czego potrzebujesz, do zabezpieczenia przed sql injection przy bindowaniu nie jest ono potrzebne.

Comments

A jest jakiś przykład wstrzykiwania SQL, aby sprawdzić czy to działa?

---

Poczytaj na jakiej zasadzie to działa i sam będziesz wiedział jak coś takiego napisać, aby pasowało do Twojej bazy.

Pierwsze wyniki z Google:
https://www.owasp.org/index.php/Testing_for_SQL_Injection_(OTG-INPVAL-005)
http://www.unixwiz.net/techtips/sql-injection.html

---

Dzięki