Бзопасность PHP скриптов и баз данных MySQL

[Victor Ananiev]

Для меня всегда было загадкой, какие символы нужно заменять и экранировать в работе с MySQL и PHP?

[rus]

А что на этот счет говорит гугл?

[haZe]

На вики клева рассказано

[Victor Ananiev]

поиски привели к трем функциям:

htmlspecialchars();

htmlentities();

mysql_escape_string();

Я вот пользуюсь оператором LIKE для поиска) какие функции и как комбинировать, я чесно старался что то найти, получается плохо))

Edited March 15, 2009 by Victor Ananiev

[vvsh]

mysql_escape_string() и mysql_real_escape_string() отлично справляются...

например $id = mysql_escape_string($_GET['id']);

экранирует все запрещенные символы...

Edited March 15, 2009 by vvsh

[Victor Ananiev]

ммм... и эту фиговину можно использовать без опасений в запросах?) да кстати нарыл еще addslashes(); вроде тоже самое делает, только независимо от базы данных)

в догонку: а как на счет всяких падлючих OR 1=1?

Edited March 15, 2009 by Victor Ananiev

[vvsh]

да, можно

[zwie]

насчет 1=1. Я конечно не спец, но если подумать.

SELECT cols1,cols2 FROM tablename WHERE cols LIKE value OR 1=1

SELECT `cols1`,`cols2` FROM `tablename` WHERE `cols` LIKE 'value OR 1=1'

в принципе, что-то может произойти, если кавычки проставлены правильно?

[AMD]

mysql_escape_string();

старая функция, существует некоторые уязвимости, читал где то..

лучше всего подойдет

mysql_real_escape_string()

Edited March 16, 2009 by AMD

[Victor Ananiev]

real еще и в кодировке нужной отправляет)