Предотвращение инъекций SQL

Question

Привет всем, я экспериментировал и начал создавать веб-сайт, который собирается внедрить форум. Я начинаю смотреть на проблемы безопасности, которые могут повлиять на веб-сайт. Такие области, как межсайтовый скриптинг и SQL-инъекции.

Из исследования, снимающего все теги html, будет предотвращен XSS. Будет ли это вместе с удалением специальных символов SQL, достаточных для предотвращения атак с SQL-инъекциями?

<?php 
require "dbconn.php"; 

$mnam = strip_tags($_GET['blogentername']); 
$mcom = strip_tags($_GET['blogmessage']); 
$approve = 'N'; 
$dte = gmdate("d-M-Y H:i:s"); 

$mnam = mysql_real_escape_string($user); 
$mcom = mysql_real_escape_string($mcom); 

$query = "INSERT INTO blogentry VALUES ('".$mnam."','".$dte."','".$mcom."','".$approve."','','')"; 

$results = mysql_query($query) 
      or die(mysql_error()); 

header('Location:messages.php?messagesent=1'); 

?> 

Спасибо не все для вас время Энди

Answer 1

Для данного кода - да, это довольно безопасно и непроницаемо.

Однако, ваша идея защиты от SQL-инъекции в общем-то совсем не правильная.

В вашем коде отсутствует «удаление специальных символов SQL». И нет никакого смысла в такой зачистки вообще.
Говоря о SQL строки, они довольно безопасны, если правильно отформатирован. Но для всех других литералов SQL то, что вы называете «зачисткой», фактически ничего не потеряет.

Answer 2

Вы должны никогда раздеться теги. Сохраните их в базе данных raw, затем используйте htmlspecialchars при выводе их в браузер.

Answer 3

Как наилучшая практика, никогда не используйте конкатенацию строк для создания ваших SQL-команд.

Использовать параметризованные запросы. Они по своей сути гораздо более безопасны и могут быть оптимизированы механизмом базы данных, чтобы обеспечить лучшую производительность при выполнении одного и того же типа операторов несколько раз.

Более подробная информация с примерами здесь: How can I prevent SQL injection in PHP?