کمک برای جلوگیری از SQL Injection

[mamali-mohammad]

سلام
داشتم یه برنامه چک میکردم
متوجه شدم mysql_real_escape_string به تنهایی نمیتونه جلوی این حمله رو بگیره
بهتره که stripslashes استفاده بشه و همچنین ورودی ها فیلتر بشن

مثلا اگه محتوا عددی هست بهتره از این استفاده کرد :

if (is_numeric($id))

بعدش ادامه کارو رفت
حالا من سوال دارم

1- از stripslashes و mysql_real_escape_string استفاده بشه ؟
2- برای اعداد این کد رو میزنم اول :

$sid=preg_replace('#[^0-9]#i','',$_GET['id']);

3- برای اعداد و حروف انگلیسی :

$sid=preg_replace('#[^A-Z-a-z-0-9]#i','',$_GET['id']);

4- برای اعداد و حروف انگلیسی و حروف فارسی :

$sid=preg_replace('#[^A-Z-a-z-0-9\ا\ب\پ\ت\ث\ج\چ\ح\خ\د\ذ\ر\ز\ژ\س\ش\  ص\ض\ط\ظ\ع\غ\ف\ق\ک\گ\ل\م\ن\و\ه\ی\ك  \آ\ي\ئ]#i','',$_GET['id']);

اگه مورد 2 استفاده بشه و تمام ورودی ها فقط عدد بشن ، آیا نیاز به مورد 1 هست ؟
مورد 4 از نظر منطقی صحیح هست ؟
ممنون

[tehro0n]

مورد 4 رو نمی دونم تا حالا ندیده بودم، ولی مورد 3 کار 2 رو می کنه و در ورودی کاراکترها هم باید از escape استفاده کنید..
شما به جای مورد 4 می تونید از htmlspecialchars و urldecode استفاده کنید، البته دیکد کردن وقتی هست که ورودی شما هنگام ارسال انکد بشه

[mamali-mohammad]

مشکل دیکد کردن نیست
مشکل ورودی برای کشیدن اطلاعات به بیرون هست
فرض کنیم قرار در سایت جستجو بشه
خب اطلاعات رو بر اساس GET میگیره دیگه
این متغیر رو حتما باید escape کنیم یا با فیلتر کردن مورد 4 مشکل حل میشه ؟

[tehro0n]

ببینید وقتی htmlspecialchars میزنید کاراکترهای غیر مجاز رو مجاز می کنه و وقتی در نهایت هم escape می کنید دیگه نیازی به مورد 4 نیست، برای حروف فارسی هم می تونید از انکد و دیکد استفاده کنید که به اعداد و حروف انگلیسی تبدیل بشه پس 4 حذف میشه..

[rezaonline.net]

mamali-mohammad یه بار از PDO استفاده کن ، یه عمر شب آسوده بخواد .
دیگه این دنگ و فنگ هارو نداری

[colors]

سلام

این تابع رو جناب eshpilen نوشتن. عالیه...

function quote_smart($value, $identifier=false)

{



	if(!is_numeric($value)) {

		if(get_magic_quotes_gpc()) $value = stripslashes($value);

		if(!$identifier) return "'" .mysql_real_escape_string($value) . "'";

		else if(strpos($value, '`')===false) return '`' .$value . '`';

		else {

		$this->error("Value contains invalid character (backtick - '`') for identifiers");

		return false;

		}

	}

	else return $value;



}

فقط کافیه مقدیر رو بدن هیچ کوتیشنی ( " or ' ) بهش بدین

[soroush.r70]

سلام

این تابع رو جناب eshpilen نوشتن. عالیه...

function quote_smart($value, $identifier=false)

{



	if(!is_numeric($value)) {

		if(get_magic_quotes_gpc()) $value = stripslashes($value);

		if(!$identifier) return "'" .mysql_real_escape_string($value) . "'";

		else if(strpos($value, '`')===false) return '`' .$value . '`';

		else {

		$this->error("Value contains invalid character (backtick - '`') for identifiers");

		return false;

		}

	}

	else return $value;



}

فقط کافیه مقدیر رو بدن هیچ کوتیشنی ( " or ' ) بهش بدین

من از این سورس به این صورت استفاده میکنم اونو قرار می دم در داخل کلاس خودم و به این صورت در متدهای post و get صدا می زنم درسته

$id=$class->quote_smart($_GET['id']);

$name=$class->quote_smart($_post['name']);

[colors]

من از این سورس به این صورت استفاده میکنم اونو قرار می دم در داخل کلاس خودم و به این صورت در متدهای post و get صدا می زنم درسته

$id=$class->quote_smart($_GET['id']);

$name=$class->quote_smart($_post['name']);

بله درسته...