Поможет ли такой php-код защититься от sql-инъекций и XSS, какие в нём есть уязвимости?

Question

Иван @sait4seo

Поможет ли такой php-код защититься от sql-инъекций и XSS, какие в нём есть уязвимости?

$this->post = str_secure($_POST);
$this->get = str_secure($_GET);
$this->session = str_secure($_SESSION);
$this->cookie = str_secure($_COOKIE);

 function str_secure($str, $int=0)
{
    if (is_array($str))
    {
    foreach($str as $k=>$s)
    $str[str_secure($k)]=str_secure($s);}
    else{
$str = str_replace(array("\r\n","\r","\n","\t"), ' ', $str);
    $str = trim(strip_tags($str));
    $str=str_replace("'",'&apos;', $str);
    $str=str_replace('"','&quot;', $str);
    $str=addslashes($str);  
    if ($int==1){
     $str = abs((int)($str));    
    }}
    return $str;
}

Понимаю, что правильно использовать bindParam и плейсхолдеры, но сами sql-запросы переписать не смогу, так как их очень много.
В проекте не используется MySQLi, так бы real_escape_string заюзал.

Одну, пожалуй, сам напишу, если $_GET['param1'] должен быть только целочисленный, то придётся отдельно описать его, иначе строку могут впихнуть.

Вопрос задан более трёх лет назад
3898 просмотров

Комментировать

Подписаться 4 Оценить Комментировать

Пригласить эксперта

Ответы на вопрос 6

Комментировать

2 комментария

7 комментариев

Иван @sait4seo Автор вопроса

PDO используется, но описал выше почему не могу использовать bindParam и плейсхолдеры

Написано более трёх лет назад
WebSpider @WebSpider

Ну в таком случае используйте php.net/manual/ru/pdo.quote.php
Или к объекту PDO тоже доступа не получить?

Написано более трёх лет назад
Иван @sait4seo Автор вопроса

quote берёт строку в кавычки, кроме того что экранирует, и это ломает большое кол-во запросов

Написано более трёх лет назад
Melkij @Melkij

Пф, нашли проблему. Строковые функции вам на что?

Написано более трёх лет назад
Иван @sait4seo Автор вопроса

ок, попробую сделать quote, а потом обрезать кавычки по краям.

Написано более трёх лет назад
FanatPHP @FanatPHP

Melkij: Не надо писать херню. КАКОЙ СМЫСЛ делать quote и потом делать обрезание?

Написано более трёх лет назад
Melkij @Melkij

FanatPHP:
> КАКОЙ СМЫСЛ делать quote и потом делать обрезание?
Мимикрировать под поведение экранирования, на которое ориентировано порядком существующего кода.
Чтобы мигрировать на нормальный PDO сразу и затем в спокойном режиме аккуратно заменять запросы на подготовленные.
Читайте исходный вопрос (про что вы очень любите на гране цензуры истерить)
> sql-запросы переписать не смогу, так как их очень много.

А, вы ответить не сможете ещё долго. Наконец-то.

Написано более трёх лет назад

1 комментарий

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

JavaScript

+3 ещё

Простой
Как сделать чтобы при нажатии на кнопку или сылку в div блоке открывалась галерея?
- 1 подписчик
- 9 минут назад
- 9 просмотров
0

ответов
PHP

+2 ещё

Средний
Запросы soap в инфоклинику на php?
- 1 подписчик
- час назад
- 38 просмотров
1

ответ
PHP

Простой
Не работает часть скрипта PHP при смены PHP 7 на 8?
- 1 подписчик
- 15 часов назад
- 157 просмотров
2

ответа
PHP

Средний
Как найти в массиве ответа API нужное значение, при том что значение может быть написано в разном регистре?
- 1 подписчик
- 21 час назад
- 131 просмотр
3

ответа
PHP

+1 ещё

Простой
Как отправить сообщение в определенную тему в группе Telegram боту на PHP?
- 1 подписчик
- 22 часа назад
- 61 просмотр
0

ответов
PHP

+1 ещё

Простой
Почему не работает JWT поверка?
- 1 подписчик
- 23 часа назад
- 66 просмотров
0

ответов
PHP

+1 ещё

Средний
Как отладить плавающий баг проверки капчи?
- 1 подписчик
- вчера
- 57 просмотров
1

ответ
PHP

Простой
Как вывести переменную php которая выводит путь к файлу в строке $data = File('assets/files/uslugi-i-ceny/558.csv');?
- 1 подписчик
- вчера
- 97 просмотров
0

ответов
PHP

+1 ещё

Простой
Как сделать авторизацию по двум таблицам в Symfony?
- 1 подписчик
- вчера
- 84 просмотра
2

ответа
PHP

+1 ещё

Простой
Как исправить ошибку Uncaught Error: Call to undefined function mysql_real_escape_string?
- 1 подписчик
- 21 апр.
- 100 просмотров
3

ответа
Показать ещё Загружается…

PHP Developer

YCLIENTS • Москва

от 200 000 до 350 000 ₽

PHP разработчик

Ведисофт • Екатеринбург

от 25 000 ₽

Midlle PHP developer (backend)

ИТЦ Аусферр • Магнитогорск

от 100 000 до 160 000 ₽

Создать дизайн лендинга портфолио на фигме

23 апр. 2024, в 14:09

500 руб./за проект

В wordpress подключить модуль по рассрочке (документацию дам)

23 апр. 2024, в 13:51

4500 руб./за проект

Сохранение постов из телеграм каналов+отправка платящим пользователям

17 апр. 2024, в 16:55

200000 руб./за проект

Answer 1 · 2015-12-31 07:43:46

Все что делает этот идиотский код - это портит входящие данные.
Я даже не знаю, стоит ли объяснять. Ведь 100500 раз уже объясняли.

Но самый, конечно ад - это ответы.

Когда начинаешь этим щеночкам объяснять, что такое инъекция, и как от нее защититься, все начинают шипеть - "да знаем уже, учоные!". Но когда доходит до дела - такой ад выдают, что становится понятно. Не учёные, а все те же обезьяны, которые вызубрили пару заклинаний, но по традиции не понимают, ни как эти заклинания работают, ни для чего они нужны.

Тем, кто предлагает отрезать кавычки от quote, надо самим что-нибудь отрезать.

И это неловкое чувство, когда 2015 году слышишь самую заветную мантру мадагаскарских гамадрилов: "mysql_real_escape_string зашышает от ынъекцый!". Стоит, блин, такой "устаревший", но еще крепкий архангел с пылающим мечом, и разит супостата прямо в темечко - вот так представляет себе принцип работы этой функции средний пользователь похапе.

Answer 2 · 2015-12-31 00:55:58

Вновь магические кавычки изобретаете?
От самых тупых атак поможет. Самому себе проблем добавит over9000.
addslashes пробить можно атакой на кодировку.

В проекте не используется MySQLi, так бы real_escape_string заюзал.

Вы так пишете, как будто эти два независимых высказыванию есть причина и следствие.
Раз есть SQL - значит есть драйвер БД. Не помню ни одного драйвера, который бы даже при наличии подготовленных запросов не предоставлял экранирующий метод.

Answer 3 · 2015-12-31 03:02:06

На что только люди не идут, что бы не использовать PDO.

Если уже пошла такая пьянка - почему непечатаемые символы не убираешь?
+ html_entity_decode можно пройтись на всякий пожарный.

Answer 4 · 2015-12-31 01:03:46

1) Использовать ::quote() и убирать крайние кавычки
2) Нагло использовать устаревшую, но всё ещё присутствующую mysql_real_escape_string()

Answer 5 · 2015-12-31 00:46:12

> В проекте не используется MySQLi, так бы real_escape_string заюзал.
А что используется? В MySQL как бы тоже есть функция mysql_real_escape_string

Answer 6 · 2015-01-01 19:14:16

Володимир Годяк @wmgodyak

php.net/manual/ru/function.filter-var.php в помощь

Ответ написан более трёх лет назад

1 комментарий

Поможет ли такой php-код защититься от sql-инъекций и XSS, какие в нём есть уязвимости?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт