Безопасная запись любых POST в базу данных

[Serafimer]

Доброго времени суток! Так как новичок, то задался вопросом безопасного хранения пользовательских данных. Так как же всё-таки защититься от SQL инъекций? Пока в голову приходит только хранение в base64 формате. То есть перед записью в базу данных конвертировать данные в base64, а при выводе раскодировывать. Достаточно ли это безопасно? Поиск по базе данных не требуется.

 

[aurora2000]

ну самое простое Для просмотра ссылки Войди или Зарегистрируйся

чем не устраивает?

 

[Serafimer]

ну самое простое Для просмотра ссылки Войди или Зарегистрируйся

чем не устраивает?

Так она же изменяет строку вродь. Разве нет? ДА и мануале написано что она не экранирует символы % и _.

 

[aurora2000]

Для просмотра ссылки Войди или Зарегистрируйся

почитайте - хорошая статья, дабы не пересказывать.

 

[kise97]

Чтобы защитится, нужно фильтровать пользовательские данные перед добавлением а БД, например вот так, если вы используете PDO

$item = $pdo->prepare('SELECT * FROM item WHERE title = :title');
$item->execute(array('title'=> $title));

И если вы используете RAW запросы, то можно и нужно использовать `mysql_real_escape_string` или `mysqli:escape_string`.

Вот и все.

 

[Serafimer]

И если вы используете RAW запросы, то можно и нужно использовать `mysql_real_escape_string` или `mysqli:escape_string`.

Конкретно меня интересуют именно RAW-запросы, содержащие всевозможные символы и т.п.. При этом необходимо сохранить ихнюю целостность, а Для просмотра ссылки Войди или Зарегистрируйся похоже тупо экранирует опасные символы. Что же я в итоге получу на выходе? Да, я ламер в этом плане. И ещё вопрос - будет ли любая строка, кодированная в Для просмотра ссылки Войди или Зарегистрируйся() 100% безопасной для тупого INSERT INTO `texts` VALUES ('encoded_string'); ?

 

[aurora2000]

И ещё вопрос - будет ли любая строка, кодированная в Для просмотра ссылки Войди или Зарегистрируйся() 100% безопасной для тупого INSERT INTO `texts` VALUES ('encoded_string'); ?

да, будет 100% безопасной

 

[kise97]

Конкретно меня интересуют именно RAW-запросы, содержащие всевозможные символы и т.п.. При этом необходимо сохранить ихнюю целостность, а Для просмотра ссылки Войди или Зарегистрируйся похоже тупо экранирует опасные символы. Что же я в итоге получу на выходе? Да, я ламер в этом плане. И ещё вопрос - будет ли любая строка, кодированная в Для просмотра ссылки Войди или Зарегистрируйся() 100% безопасной для тупого INSERT INTO `texts` VALUES ('encoded_string'); ?

Просто все данные будут переданы в запрос в безопасном варианте, сама строка не изменится, функция Для просмотра ссылки Войди или Зарегистрируйся только экранирует и все. + прочитайте `Замечания` на странице документации по этой функции.

Вы я так понял, не знаете что такое экранирование. Вот вам простой пример на PHP

<?php

echo 'This is example of \'escaping\'', "<br>", "This is example of 'escaping'";

?>