SQL инъекция

designf · 25 Июн 2009

Народ. Есть сайт. Одни типы угрожают что есть опасность инъекции. Я посмотрел код.

просмотр категории

mysait.ru/index.php?category=1

достаточно ли защититься от инъекции, таким путем:

PHP:

$cat=intval($_GET[categoty]);

далее, запрос

PHP:

SELECT * FROM $db_category WHERE selector=$cat

неважно · 25 Июн 2009

designf написал(а):
Народ. Есть сайт. Одни типы угрожают что есть опасность инъекции. Я посмотрел код.

просмотр категории

mysait.ru/index.php?category=1

достаточно ли защититься от инъекции, таким путем:

PHP:

$cat=intval($_GET[categoty]);

далее, запрос

PHP:

SELECT * FROM $db_category WHERE selector=$cat

как-то так по проще будет

PHP:

SELECT * FROM $db_category WHERE selector = '".(int)$_GET['category']."'

PHP_Master · 26 Июн 2009

Для чисел лучше не использовать кавычки.

t0os · 26 Июн 2009

PHP:

if ( ! $cat = intval($_GET['categoty']) die("Пошли на юх!");  
$result = mysql_query('SELECT * FROM ' . $db_category . ' WHERE `selector` = ' . $cat);

Можно и так.

designf · 26 Июн 2009

Действительно, а зачем лишние запросы к базе делать, если там бяка.
Спасибо. А то пишу им, мол покажите результ инъекции - молчат ...

Вот и засомневался.

Kloster · 26 Июн 2009

t0os написал(а):
PHP:

if ( ! $cat = intval($_GET['categoty']) die("Пошли на юх!"); $result = mysql_query('SELECT * FROM ' . $db_category . ' WHERE `selector` = ' . $cat);

Можно и так.

на юг посылать пользователя, наверное, стоит не всегда, может у него рука дрогнула и вместе с цифрой что-то еще попало в адрес.
А вот обработать только то, что было в параметре числовое - это дело.
Кстати, почему-то никто не проверил знак числа, там хоть и не инъекция, но будет ошибка sql, если параметр равен нулю.
Я обычно делаю так:

PHP:

$cat=intval($_GET['categoty']); 
if($cat>0){
   //делаем SELECT
}else{
  //вывести ошибку, что категория не найдена. Не убивая программу, пусть шаблоны отработают и все остальное, чтобы страница получилась приличная
}

неважно · 26 Июн 2009

Kloster, какая может быть ошибка sql, если параметр равен нулю =)?

t0os · 26 Июн 2009

Kloster написал(а):
на юг посылать пользователя, наверное, стоит не всегда, может у него рука дрогнула и вместе с цифрой что-то еще попало в адрес.
А вот обработать только то, что было в параметре числовое - это дело.
Кстати, почему-то никто не проверил знак числа, там хоть и не инъекция, но будет ошибка sql, если параметр равен нулю.
Я обычно делаю так:

PHP:

$cat=intval($_GET['categoty']); if($cat>0){ //делаем SELECT }else{ //вывести ошибку, что категория не найдена. Не убивая программу, пусть шаблоны отработают и все остальное, чтобы страница получилась приличная }

А я что тогда проверил в первой строке?

Конечно, на юг посылать и не обязательно. Лучше в логи писать такое дело. Ну или дефолтную категорию выводить.

Kloster · 26 Июн 2009

Слушайте, затупил что-то. В конце дня башка уже не варит.

myweb · 26 Июн 2009

Я делаю вот так

PHP:

if (!$cat = intval($_GET['categoty'])) $cat=1; // где 1 ето значение по умолчанию

посылать пользователей не очень этически, может он не преднамеренно ступил

SQL инъекция

designf

Постоялец

неважно

Постоялец

PHP_Master

Хранитель порядка

t0os

Профессор

designf

Постоялец

Kloster

Старатель

неважно

Постоялец

t0os

Профессор

Kloster

Старатель

myweb

Среда обитания WEB