Cheery .:МордератоР:. Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору israel_rider Цитата: твой ответ - проверять при помощи mysql_real_escape_string() и htmlspecialchars() и всё? И не париться? если правильно использовать, то да ---------- Away/DND Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 23:44 11-10-2009

Cheery .:МордератоР:. Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору israel_rider Цитата: говоря - "если правильно использовать" если руки растут не из того места, то даже с нужными вещами можно наделать столько дыр. Цитата: Применительно к моему, конкретно описываемому мною случаю, когда приходится проверять данные, не зная заранее, где они после будут использоваться - в SQL запросе, или выводиться прямо на веб-стренице. и? применяйте и экранирование и преобразование htmlentities ---------- Away/DND Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 00:15 12-10-2009

andead Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору israel_rider да, ну и желательно приводить типы Всего записей: 1821 | Зарегистр. 22-09-2005 | Отправлено: 00:49 12-10-2009

israel_rider Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Я очень сожалею, что ни кто из знающих профессионалов так и не ответил на мой последний вопрос. Неужели его сочли настолько глупым и нелепым? А у меня уже возникла следующая проблема, и как раз с типами.   Дело в том, что, как я уже написал, работа сайта требует самые разные типы в «$_REQUEST». Так вот, и функция mysql_real_escape_string() и htmlspecialchars() на входе требуют «string». И когда через «$_REQUEST» потребовалось передать массив, сайт сработал неправильно. Пришлось переписать конструктор. И теперь он выглядит так: Код:   var $AllRequest;       function __construct()       {                     $MySqlHostname = "localhost";         $MySqlUsername = "имя";         $MySqlPassword = "пароль";         $MySqlDatabase = "база данных";         $dblink = mysql_connect($MySqlHostname, $MySqlUsername, $MySqlPassword) or die("Error :: Unable to connect to database");               mysql_select_db($MySqlDatabase) or die( "Error :: Unable to select database");           mysql_query("SET NAMES UTF8");                   foreach($_REQUEST as $key => $val){             if (is_array($val)) $this->AllRequest =    $_REQUEST;               else {                 $preliminary = mysql_real_escape_string($val);                 $this->AllRequest[$key] = htmlspecialchars($preliminary);               }         }        }       Сайт работает, но, как можно видеть, сейчас, если через «$_REQUEST» передаётся массив, то он не проверяется. Я не просматривал весь код сайта, но думаю, там наверняка найдутся места, где элементы этого массива будут и подставляться в запросы, и выводиться на страницах сайта. Следовательно вопрос – если в «$_REQUEST» будет содержаться массив, как его проверять? Точно так же, как я проверяю сам «$_REQUEST»? Делать итерацию по нему при помощи фунции foreach()? Или есть какое то более оригинальное решение в моём варианте?   Всего записей: 925 | Зарегистр. 28-07-2007 | Отправлено: 16:32 12-10-2009 | Исправлено: israel_rider, 16:37 12-10-2009

andead Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: А к чему их приводить к тем что используются в mysql   Цитата: Так а у меня же там ещё и "integer" передаюся.... И поди, знай, может даже где нибудь ещё  и "float" затешется.... а кто сказал что будет легко?)   Цитата: так и не ответил на мой последний вопрос вам два человека одно и тоже написали   Цитата: Следовательно вопрос – если в «$_REQUEST» будет содержаться массив, как его проверять? зачем его проверять? вынесите функцию обработки переменной в отдельную функцию и обрабатывайте хоть строки, хоть массивы через рекурсию Всего записей: 1821 | Зарегистр. 22-09-2005 | Отправлено: 17:04 12-10-2009 | Исправлено: andead, 17:09 12-10-2009

israel_rider Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Как всё просто показалось вначале.... В результате, только через сутки долбления головой о стену узнал о существовании функции array_walk_recursive(), которая позволила реализовать поданную andead - ом идею....   Добавлено: Вот что получилось в результате: Код:   function __construct()       {           $AllRequest = $_REQUEST;         array_walk_recursive($AllRequest, array($this, 'security_check'));                   $this->AllRequest = $AllRequest;     }                          function security_check(&$item, $key)     {             if (!is_numeric($item)) {                   $MySqlHostname = "localhost";                   $MySqlUsername = "имя";                   $MySqlPassword = "пароль";                   $MySqlDatabase = "база";                   $dblink = mysql_connect($MySqlHostname, $MySqlUsername, $MySqlPassword) or die("Error :: Unable to connect to database");                        mysql_select_db($MySqlDatabase) or die( "Error :: Unable to select database");                      mysql_query("SET NAMES UTF8");                             $item = htmlspecialchars($item, ENT_QUOTES);                      $item = mysql_real_escape_string($item);               }         }       Хотелось бы выслушать советы, насколько грамотно всё получилось. По поводу типов. Правильно ли, допустим, что если условие "is_numeric($item) выполняется, то значение проверять вообще не нужно? Пока тестирую. Вроде пока работает.... Всего записей: 925 | Зарегистр. 28-07-2007 | Отправлено: 16:14 13-10-2009 | Исправлено: israel_rider, 00:23 14-10-2009

evle 1 + int rand(100); Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору israel_rider 1. Отдельное подключение к базе и запрос для каждого поля в REQUEST — это, конечно, гениально, но, боюсь, хостер не оценит. 2. Лучше всё-таки понять, что же делают функции htmlspecialchars и mysql_real_escape_string, и зачем они это делают, чтобы не было соблазна мешать их в кучу. 3. На мой вкус обрабатывать весь REQUEST таким образом несколько избыточно. Если, конечно, он целиком потом не пойдёт в запрос. ---------- For every complex problem, there is a solution that is simple, neat, and wrong. Всего записей: 2110 | Зарегистр. 03-02-2005 | Отправлено: 20:49 16-10-2009 | Исправлено: evle, 21:01 16-10-2009

Cheery .:МордератоР:. Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору evle Цитата: Отдельное подключение к базе и запрос для каждого поля в REQUEST — это, конечно, гениально, но, боюсь, хостер не оценит. http://us2.php.net/mysql_connect Цитата: If a second call is made to mysql_connect()  with the same arguments, no new link will be established, but instead, the link identifier of the already opened link will be returned. The new_link  parameter modifies this behavior and makes mysql_connect() always open a new link, even if mysql_connect() was called before with the same parameters. In SQL safe mode, this parameter is ignored.     но насчет выбора базы и тд - да.. лишнее..       israel_rider я делаю так Код: function db_connect() {     static $connected = 0;       if (!$connected) {         $link = @mysql_connect(DB_HOST, DB_UID, DB_PWD);         if ($link) {             mysql_select_db(DB_DB);             $connected = 1;         } else {             exit("Unable to connect to database.  Please try again later.\n");         }     } } и вызываю из каждой функции работающей с базой. ---------- Away/DND Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 21:52 16-10-2009 | Исправлено: Cheery, 21:53 16-10-2009

Cheery .:МордератоР:. Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору israel_rider честное слово - вы порой утомляете. вы что то нового кроме static увидели? ну зачем переспрашивать очевидное. данный способ не сработает только в одном случае - если база вылетит на момент работы скрипта (то есть зависит от его длительности). соединение установится, но что то потом может не сработать. а так - не важно какую функцию работы с базой вызовите - сначала установится соединение и больше не будет дергать базу. Кроме случая когда вызывается mysql_close в лоб - тогда этот метод тоже выдаст ошибку ---------- Away/DND Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 22:51 16-10-2009 | Исправлено: Cheery, 22:52 16-10-2009

evle 1 + int rand(100); Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Cheery Хм. Согласен; не знал, что php это кеширует. Видимо, как раз для таких случаев. :-) israel_rider Цитата: я получил ответ, что вроде бы и ни чего страшного Что-то я не вижу, чтобы кто-то утверждал, что   Код:                      mysql_select_db($MySqlDatabase) or die( "Error :: Unable to select database");                      mysql_query("SET NAMES UTF8");     в цикле — это ничего страшного.   Цитата: Поэтому я и решил проверять REQUEST обоими функциями в одном месте Видимо, всё-таки не понимаешь. Цитата: получил ответ, что да, сделать так можно Сделать можно много чего. Вопрос в том, к чему это приведёт. Например, htmlspecialchars перед вставкой в базу приведёт к тому, что в базе окажутся не сами данные, а их html-представление. Отсюда появятся проблемы с поиском, сортировкой, выдачей в не-html виде. Если не делать htmlspecialchars или его аналог вообще, можно получить сломаный html, а если данные пришли от пользователя, то ещё и опасный. Никто же не помешает ввести вместо какого-нибудь поля '<script src=...>'. ---------- For every complex problem, there is a solution that is simple, neat, and wrong. Всего записей: 2110 | Зарегистр. 03-02-2005 | Отправлено: 15:27 17-10-2009

evle 1 + int rand(100); Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Боюсь, ты так и не понял. Ни htmlspecialchars, ни mysql_real_escape_string не предназначены для «проверки» входных данных. mysql_real_escape_string оформляет строку для использования в запросе. htmlspecialchars готовит выходные данные для вставки в html. В обоих случаях данные уже считаются корректными, вопрос лишь в правильном их «отображении». Соответственно, применяемая функция должна соответствовать синтаксису выходного формата.   Так вот, ни то, что поступает в базу, ни то, что выдаётся на страницу, не связано напрямую с REQUEST. Туда должны попадать уже проверенные и отфильтрованные данные. Проверку можно делать чем-нибудь таким, простым strip_tags, приведением к int для чисел, и т. п. Проверка зависит от ожидаемых данных; если в поле ожидалось число, а оказалась дата, твоя функция никак это не обработает. Максимум, не допустит ошибки в синтаксисе SQL и инъекции. При вставке таких данных произойдёт преобразование типов, и в базе окажется чёрт те что, хотя обычно и довольно безобидное.   Надеюсь, не зря писал. ---------- For every complex problem, there is a solution that is simple, neat, and wrong. Всего записей: 2110 | Зарегистр. 03-02-2005 | Отправлено: 21:27 17-10-2009 | Исправлено: evle, 21:28 17-10-2009

evle 1 + int rand(100); Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Да, и по поводу соединения с базой. На мой вкус, логичнее делать это один раз и сильно заранее. Где-нибудь в конструкторе того, что будет записывать данные. ---------- For every complex problem, there is a solution that is simple, neat, and wrong. Всего записей: 2110 | Зарегистр. 03-02-2005 | Отправлено: 21:31 17-10-2009

Страницы: 1 2 3 4 5 6 7 8 9 10

Компьютерный форум Ru.Board » Интернет » Web-программирование » DEL

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование