Как безопасно записывать массив от юзера в БД

FaKiR · 7 Сен 2012

Зачем велосипед придумывать?

Все что приходит от пользователя оборачиваем Для просмотра ссылки Войди или Зарегистрируйся и пишем в БД.

latteo · 7 Сен 2012

FaKiR написал(а):
Зачем велосипед придумывать?

Все что приходит от пользователя оборачиваем Для просмотра ссылки Войди или Зарегистрируйся и пишем в БД.

serialize не экранирует кавычки и не защитит от sql-запросов...

PHP:

$string = '`\'union select"';
echo $string , "\r\n";

var_dump(serialize($string));

Можно конечно сериализированную строку потом в dase64 загнать - вот это уже будет получше защита. Но это только защита записи, а вот при распаковке такой строки тоже надо аккуратность проявить...

Extalionez · 9 Сен 2012

Да вы пьяные все чтоль? Один регулярку, другой сериализацию предлагает. Очнитесь, люди! Стандартная, обязательная(!), функция для 'безопасной'(до безопасности ещё далеко) записи в БД любых данных, поступающих откуда-то извне это Для просмотра ссылки Войди или Зарегистрируйся(для mysqli). Без неё вообще никуда. Я совершенно не понимаю почему её так редко используют(ума не хватает чтоль?

) и почему на этом форуме больше одной страницы о ней не было слышно. А тему вообще прикрепить советую. Ибо это больная тема для каждого.
P.S.: Нужно не что-то запрещать, а наоборот что-то отдельное только разрешать. Например для числовых значений "SELECT * FROM test WHERE id = ".(int)$_GET['id'];

HatoL · 10 Сен 2012

По-моему здесь просто было важно более четко определить, что тебе нужно. Если от пользователя нужен массив именно ЧИСЕЛ, то проверяешь каждый элемент массива на соответствие числовому типу. Дальше как желаешь, либо дать юзеру сообщение о том, что введено что-то некорректно (я бы так и сделал), либо просто отбросить в введеной строке все, кроме чисел. Можно предварительно делать trim(), на случай если юзер ставит парочку пробелов. Как только получишь чистый, "безопасный" массив, делаешь implode() и записываешь строчку в БД.

mysqli_real_escape_string() можно юзать для строк. Если хочешь иметь в базе только числа, то надо изначально делать так, чтобы туда попадали только числа.

FaKiR · 10 Сен 2012

Extalionez написал(а):
Да вы пьяные все чтоль? Один регулярку, другой сериализацию предлагает. Очнитесь, люди! Стандартная, обязательная(!), функция для 'безопасной'(до безопасности ещё далеко) записи в БД любых данных, поступающих откуда-то извне это Для просмотра ссылки Войди или Зарегистрируйся(для mysqli). Без неё вообще никуда. Я совершенно не понимаю почему её так редко используют(ума не хватает чтоль? ) и почему на этом форуме больше одной страницы о ней не было слышно. А тему вообще прикрепить советую. Ибо это больная тема для каждого.
P.S.: Нужно не что-то запрещать, а наоборот что-то отдельное только разрешать. Например для числовых значений "SELECT * FROM test WHERE id = ".(int)$_GET['id'];

Ты задачу прочитал внимательно? От пользователя приходит массив! Попробуй сделай mysqli_real_escape_string($array) и вот так сразу запихни в поле таблицы. Расскажешь что у тебя получилось

latteo написал(а):
serialize не экранирует кавычки и не защитит от sql-запросов...
...
Можно конечно сериализированную строку потом в dase64 загнать - вот это уже будет получше защита. Но это только защита записи, а вот при распаковке такой строки тоже надо аккуратность проявить...

А чем плохо сериализовать и экранировать?

Extalionez · 10 Сен 2012

FaKiR написал(а):
Ты задачу прочитал внимательно? От пользователя приходит массив! Попробуй сделай mysqli_real_escape_string($array) и вот так сразу запихни в поле таблицы. Расскажешь что у тебя получилось

а по-моему ты его не прочитал.

verfaa написал(а):
С помощью ф-ции implode(",", $data["selects"]) из массива делается строка и пишется в БД.

FaKiR · 10 Сен 2012

Extalionez написал(а):
а по-моему ты его не прочитал.

Ну да, да...

verfaa написал(а):
С помощью ф-ции implode(",", $data["selects"]) из массива делается строка и пишется в БД.

Вот как раз на это выражение я и дал комментарий. Представим если от пользователя пришел массив:

Код:

$data["selects"] = array("1,35", "1,65")

После implode(",", $data["selects"]) мы получили строку и записали в поле таблицы "1,35,1,65". Теперь нам нужно получить данные, что-то мне подсказывает что это будет выглядеть так: explode(",", "1,35,1,65"). И что мы получили? Сравните с исходными данными!

Extalionez · 10 Сен 2012

Для просмотра ссылки Войди или Зарегистрируйся, ну дык а кто заставляет в качестве дилиметера запятую юзать?
Ой, чую забанят меня за флуд)

FaKiR · 11 Сен 2012

Extalionez написал(а):
Для просмотра ссылки Войди или Зарегистрируйся, ну дык а кто заставляет в качестве дилиметера запятую юзать?

Вопрос не ко мне. У автора поста спроси

xiregroup · 13 Сен 2012

Если просто массив записать полностью (не по столбцам в базе а в один столбец) то проще будет так:
mysql_real_escape_string(serialize($data))

и лучше сделать рекурсивную проверку массива, и просто изначально делать $array[$key] = (int)$value;

Как безопасно записывать массив от юзера в БД

FaKiR

Писатель

latteo

Эффективное использование PHP, MySQL

Extalionez

Клоун

HatoL

Профессор

FaKiR

Писатель

Extalionez

Клоун

FaKiR

Писатель

Extalionez

Клоун

FaKiR

Писатель

xiregroup

Писатель