Защита от SQL инъекций-PDO

@Burnoutman · Регистрация: 05.04.2012

Author24 — интернет-сервис помощи студентам

Прочитал,что для защиты от инъекций нужно использовать PDO. Если переменная является параметром в запросе,то всё нормально,

PHP

$search=$_POST['search'];
$result=$pdo->prepare("SELECT `email` FROM `zayvki` WHERE `email`=?") or die ("<script type=\"text/javascript\">alert(\"Ошибка базы данных. Обратитесь к администратору\")</script>");
$result->execute(array($search));
while($array=$result->fetch(PDO::FETCH_LAZY))

но если названием таблицы,то всё,ничего не работает. Вроде как и не должно работать с названиями таблиц,но как тогда их защитить от инъекций?

PHP

1 2	$page=$_GET['page']; $result=$baza->query("SELECT `title` FROM `$page`");

@Jewbacabra · 07.11.2017, 21:21

Сообщение от Burnoutman

как тогда их защитить от инъекций?

белый список

@Burnoutman · 07.11.2017, 22:08 **[ТС]**

Сообщение от Jewbacabra

белый список

А что должно быть в белом списке? Можно подробнее?

@Jewbacabra · 07.11.2017, 22:30

Сообщение от Burnoutman

А что должно быть в белом списке

имена таблиц, который могут быть использованы в запросе

@Burnoutman · 08.11.2017, 19:18 **[ТС]**

Сообщение от Jewbacabra

имена таблиц, который могут быть использованы в запросе

А могу ли я хранить имена таблиц в БД и когда нужно доставать их, помещать в массив, потом с помощью in_array проверят наличие нужного мне значения и если оно есть, то выполнять подключение к базе? Больше ничего не нужно экранировать или ещё чего,просто сравнивать названия и всё?

@Jewbacabra · 08.11.2017, 21:24

Сообщение от Burnoutman

А могу ли я хранить имена таблиц в БД и когда нужно доставать их, помещать в массив

Можешь, но зачем делать лишний запрос?

Сообщение от Burnoutman

если оно есть, то выполнять подключение к базе?

А как запрос к базе сделаешь при отсутствии подключения?

Сообщение от Burnoutman

Больше ничего не нужно экранировать или ещё чего,просто сравнивать названия и всё?

Для чего нужно экранирование. Чтобы символ, который имеет специальное значение в некотором контексте этого специального значения лишить. И если есть список готовых для безопасной подстановки в запрос строк, то зачем еще его экранировать?

@Burnoutman · 09.11.2017, 00:20 **[ТС]**

Сообщение от Jewbacabra

Можешь, но зачем делать лишний запрос?

Сообщение от Jewbacabra

А как запрос к базе сделаешь при отсутствии подключения?

Что-то я недопонимаю видимо. У меня всё работает так:
в админке я создаю страницу,это таблица содержит в себе поля id, title,name_page,get_page,text. Там же в админке,сразу после создания,появляется ссылка на созданную страницу в виде

HTML5

1	<a href="http://new.com/index.php?page=home">Главная страница</a>

Когда пользователь нажимает на ссылку идёт передача GET параметра. Этот запрос GET содержит в себе поле get_page,оно такое же как и название таблицы. На странице index.php переменной $page присваивается значение переменной $_GET['page'], далее всё это подставляется в запрос к БД

PHP

1	$result=$baza->query("SELECT `title` FROM `$page`");

и пользователь видит содержимое страницы которую запросил. Также в базе данных есть таблица,которая хранит все существующие таблицы. Просто,если как Вы говорите,зачем делать лишний запрос,а откуда брать названия новых таблиц для сравнения? Ну не вносить же их каждый раз в код после создания.

@Jewbacabra · 09.11.2017, 00:22

Сообщение от Burnoutman

в админке я создаю страницу,это таблица содержит в себе поля id, title,name_page,get_page,text.

т.е для каждой страницы создаются динамически отдельная таблица? Не надо так делать

@Burnoutman · 09.11.2017, 00:36 **[ТС]**

Правильно будет все страницы хранить в одной таблице?

@Jewbacabra · 09.11.2017, 00:56

Сообщение от Burnoutman

Правильно будет все страницы хранить в одной таблице?

да.

@Burnoutman · 10.11.2017, 01:04 **[ТС]**

А можно на одной странице одновременно использовать подключение к базе PDO и обычное,чтобы работало query? Есть запросы в БД,которые просто прописаны в коде без использования переменных и они все не работают из-за подключения способом DSN для PDO.
Что-то это PDO тёмный лес какой-то.
PDO

PHP

<?php
//Соединение с базой данных PDO
 
$host='localhost';
$db='имя базы';
$user='user';
$pass='пароль';
$charset = 'utf8';
$dsn = "mysql:host=$host;dbname=$db;charset=$charset";
    $opt = [
        PDO::ATTR_ERRMODE            => PDO::ERRMODE_EXCEPTION,
        PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,
        PDO::ATTR_EMULATE_PREPARES   => false,
    ];
$pdo = new PDO($dsn, $user, $pass, $opt);
?>

mysqli_query

PHP

<?php
//Соединение с базой данных
$baza =  new mysqli('localhost', 'user', 'пароль','имя базы');
mysqli_set_charset($baza, "utf8");
if(mysqli_connect_errno())
{
 echo "Невозможно подключиться".mysqli_connect_error();
 exit();
}
?>

@Jewbacabra · 10.11.2017, 11:30

Burnoutman, смотри ошибки pdo

@Burnoutman · 14.11.2017, 00:04 **[ТС]**

Если использовать белый список для защиты от инъекций,так будет правильно?

PHP

$page="";
$array_page=['novosty','zayvki','onas','book','home','user']; //названия страниц закреплённые за кнопками пример http://название сайта/index.php?page=home
$result=$baza->query("SELECT `get_page` FROM `all_pages`"); //названия страниц из БД
while($array=mysqli_fetch_array($result))
{
    $array_page[].=$array[0];
}
 if(in_array($_GET['page'],$array_page))
{
       $page=$_GET['page'];
       Тут выполняется код.
}
else
{
    echo'<script type="text/javascript">location.href="http://название сайта/index.php?page=home";</script>';
}

Решение работает,но меня смущает,сколько памяти занимает такой массив как $array_page,если страниц будет много? Не начнёт ли сайт тормозить?

@Jewbacabra · 14.11.2017, 00:14

Сообщение от Burnoutman

так будет правильно?

явно что-то не то.
Тут и вытаскивание всех строк вместо одной, и применение операции конкатенации к массиву, и редирект на js.

@Burnoutman · 14.11.2017, 00:31 **[ТС]**

Сообщение от Jewbacabra

Тут и вытаскивание всех строк вместо одной

А как тогда сравнить,есть у меня в базе такие или нет, не делая при этом запрос в базу?

Сообщение от Jewbacabra

применение операции конкатенации к массиву

Думал,что так можно

Сообщение от Jewbacabra

редирект на js.

header('Location:')?

@Jewbacabra · 14.11.2017, 00:33

Сообщение от Burnoutman

А как тогда сравнить,есть у меня в базе такие или нет, не делая при этом запрос в базу?

делая запрос в базу, используя WHERE

Сообщение от Burnoutman

header('Location:')?

да

@Burnoutman · 14.11.2017, 00:37 **[ТС]**

Сообщение от Jewbacabra

делая запрос в базу, используя WHERE

Тогда получается я в запрос подставляю переменную которая приходит от пользователя. Ведь белым списком я и пытаюсь избежать этого запроса без проверки на существующие страницы.

@Jewbacabra · 14.11.2017, 00:52

Burnoutman, что мешает использовать prepared statements?

@Burnoutman · 14.11.2017, 09:24 **[ТС]**

Сообщение от Jewbacabra

что мешает использовать prepared statements?

Вот так?

PHP

1
2
3

$page=$_GET['page'];
$result=$baza->prepare("SELECT `title` FROM `all_pages` WHERE `get_page`=?");
$result->bind_param("s",$page);

Но я опять застреваю на этом,как теперь достать значение из базы? Раньше,после этого кода я делал

PHP

while($array=mysqli_fetch_array($result))
    {
        echo $array['title'];
    }

но так не работает
Warning: mysqli_fetch_array() expects parameter 1 to be mysqli_result

@Jewbacabra · 14.11.2017, 09:47

Burnoutman, смотри документацию
https://secure.php.net/manual/... repare.php

@Burnoutman 8 / 8 / 5 Регистрация: 05.04.2012 Сообщений: 165
	14.11.2017, 00:31 [ТС]	15
	Сообщение от Jewbacabra Тут и вытаскивание всех строк вместо одной А как тогда сравнить,есть у меня в базе такие или нет, не делая при этом запрос в базу? Сообщение от Jewbacabra применение операции конкатенации к массиву Думал,что так можно Сообщение от Jewbacabra редирект на js. header('Location:')? 0

@Jewbacabra 4925 / 3920 / 1620 Регистрация: 24.04.2014 Сообщений: 11,441
	14.11.2017, 00:33	16
	Сообщение от Burnoutman А как тогда сравнить,есть у меня в базе такие или нет, не делая при этом запрос в базу? делая запрос в базу, используя WHERE Сообщение от Burnoutman header('Location:')? да 1

@Jewbacabra 4925 / 3920 / 1620 Регистрация: 24.04.2014 Сообщений: 11,441
	07.11.2017, 21:21	2
	Сообщение от Burnoutman как тогда их защитить от инъекций? белый список 1

@Burnoutman 8 / 8 / 5 Регистрация: 05.04.2012 Сообщений: 165
	07.11.2017, 22:08 [ТС]	3
	Сообщение от Jewbacabra белый список А что должно быть в белом списке? Можно подробнее? 0

@Jewbacabra 4925 / 3920 / 1620 Регистрация: 24.04.2014 Сообщений: 11,441
	07.11.2017, 22:30	4
	Сообщение от Burnoutman А что должно быть в белом списке имена таблиц, который могут быть использованы в запросе 1

@Burnoutman 8 / 8 / 5 Регистрация: 05.04.2012 Сообщений: 165
	08.11.2017, 19:18 [ТС]	5
	Сообщение от Jewbacabra имена таблиц, который могут быть использованы в запросе А могу ли я хранить имена таблиц в БД и когда нужно доставать их, помещать в массив, потом с помощью in_array проверят наличие нужного мне значения и если оно есть, то выполнять подключение к базе? Больше ничего не нужно экранировать или ещё чего,просто сравнивать названия и всё? 0

@Jewbacabra 4925 / 3920 / 1620 Регистрация: 24.04.2014 Сообщений: 11,441
	08.11.2017, 21:24	6
	Сообщение от Burnoutman А могу ли я хранить имена таблиц в БД и когда нужно доставать их, помещать в массив Можешь, но зачем делать лишний запрос? Сообщение от Burnoutman если оно есть, то выполнять подключение к базе? А как запрос к базе сделаешь при отсутствии подключения? Сообщение от Burnoutman Больше ничего не нужно экранировать или ещё чего,просто сравнивать названия и всё? Для чего нужно экранирование. Чтобы символ, который имеет специальное значение в некотором контексте этого специального значения лишить. И если есть список готовых для безопасной подстановки в запрос строк, то зачем еще его экранировать? 1

@Jewbacabra 4925 / 3920 / 1620 Регистрация: 24.04.2014 Сообщений: 11,441
	09.11.2017, 00:22	8
	Сообщение было отмечено Burnoutman как решение Решение Сообщение от Burnoutman в админке я создаю страницу,это таблица содержит в себе поля id, title,name_page,get_page,text. т.е для каждой страницы создаются динамически отдельная таблица? Не надо так делать 1

@Burnoutman 8 / 8 / 5 Регистрация: 05.04.2012 Сообщений: 165
	09.11.2017, 00:36 [ТС]	9
	Правильно будет все страницы хранить в одной таблице? 0

@Jewbacabra 4925 / 3920 / 1620 Регистрация: 24.04.2014 Сообщений: 11,441
	09.11.2017, 00:56	10
	Сообщение от Burnoutman Правильно будет все страницы хранить в одной таблице? да. 1

@Jewbacabra 4925 / 3920 / 1620 Регистрация: 24.04.2014 Сообщений: 11,441
	10.11.2017, 11:30	12
	Burnoutman, смотри ошибки pdo 0

@Jewbacabra 4925 / 3920 / 1620 Регистрация: 24.04.2014 Сообщений: 11,441
	14.11.2017, 00:14	14
	Сообщение от Burnoutman так будет правильно? явно что-то не то. Тут и вытаскивание всех строк вместо одной, и применение операции конкатенации к массиву, и редирект на js. 1

@Burnoutman 8 / 8 / 5 Регистрация: 05.04.2012 Сообщений: 165
	14.11.2017, 00:37 [ТС]	17
	Сообщение от Jewbacabra делая запрос в базу, используя WHERE Тогда получается я в запрос подставляю переменную которая приходит от пользователя. Ведь белым списком я и пытаюсь избежать этого запроса без проверки на существующие страницы. 0

@Jewbacabra 4925 / 3920 / 1620 Регистрация: 24.04.2014 Сообщений: 11,441
	14.11.2017, 00:52	18
	Burnoutman, что мешает использовать prepared statements? 1

@Jewbacabra 4925 / 3920 / 1620 Регистрация: 24.04.2014 Сообщений: 11,441
	14.11.2017, 09:47	20
	Burnoutman, смотри документацию https://secure.php.net/manual/... repare.php 1