Правильно ли написан код экранирования(?) строки и как он вообще должен работать?

Question

Fredo14 @Fredo14

школьница

PHP

Правильно ли написан код экранирования(?) строки и как он вообще должен работать?

Разбираю чужой код, отправка сообщений в чат:

$saying=htmlspecialchars(strip_tags(stripslashes(mysql_escape_string(strip_tags($_POST['saying'])))));

Впоследствии эта строка должна добавиться в БД, оттуда в исходном виде вывестись на страничку и ничего в процессе не сломать.
Я в этом не очень понимаю, но вроде повторение strip_tags два раза смысла не имеет, а еще в этом чате часть символов (как минимум кавычки) приходится вручную экранировать, чтобы сообщение с ними вообще отправилось. Как работает написанный код и какие функции в нем на самом деле должны быть?

Вопрос задан более трёх лет назад
221 просмотр

7 комментариев

Подписаться 2 Простой 7 комментариев

FanatPHP @FanatPHP

Что значит, "вручную экранировать кавычки"?
Что за экранирование и как именно происходит отправка?

Написано более трёх лет назад
Fredo14 @Fredo14 Автор вопроса

FanatPHP,
как именно происходит отправка

немного не поняла, что именно вы спросили
Что значит, "вручную экранировать кавычки"?

чтобы сообщение с одинарной кавычкой она же апостроф отправилось и эта кавычка в нем появилась, перед ней приходится вставлять обратный слэш

Написано более трёх лет назад
FanatPHP @FanatPHP

Я имею в виду, в каком виде отправляются данные и куда. Это просто текст или Джейсон?
Отправка в HTML или в js?

Написано более трёх лет назад
Fredo14 @Fredo14 Автор вопроса
FanatPHP, эээ... насколько знаю, просто текст, js используется только при обновлении чата (раз в несколько секунд вызывается файлик, которые эти сообщения выводит лол)

точнее, там вот такая функция (#cats это как раз див с сообщениями)
function load_cats() { $.ajax({ type: "POST", url: "sichat.php", data: {}, cache: false, success: function(html) { $("#cats").empty(); $("#cats").append(html); $("#cats").scrollTop(); } }); }
Написано более трёх лет назад
FanatPHP @FanatPHP

Тогда странно, что надо экранировать кавычки. В HTML они никакой особенной роли не играют.

Попробуйте перед выводом применять только htmlspecialchars c параметром ENT_QUOTES

Написано более трёх лет назад
Fredo14 @Fredo14 Автор вопроса

FanatPHP, о, спасибо! как-то раньше не замечала существование этого параметра

Написано более трёх лет назад
FanatPHP @FanatPHP

А при записи в бд правильнее всего никак не обрабатывать, а использовать подготовленные выражения. Если это непонятно, я объясню.
Ну или на самый крайний случай - обрабатывать переменную соответствующей *_escape_string, и обязательно заключать ее в одинарные кавычки в запросе

Написано более трёх лет назад

Решения вопроса 1

6 комментариев

Антон Р. @anton_reut

Подготовленные выражения это PDO bindvalue?

<?php
/* Выполнение запроса с привязкой PHP-переменных */
$calories = 150;
$colour = 'red';
$sth = $dbh->prepare('SELECT name, colour, calories
    FROM fruit
    WHERE calories < :calories AND colour = :colour');
$sth->bindValue(':calories', $calories, PDO::PARAM_INT);
$sth->bindValue(':colour', $colour, PDO::PARAM_STR);
$sth->execute();
?>

Написано более трёх лет назад

FanatPHP @FanatPHP

Антон Р., в целом да, только этот код можно записать куда проще

<?php
/* Выполнение запроса с привязкой PHP-переменных */
$calories = 150;
$colour = 'red';
$sth = $dbh->prepare('SELECT name, colour, calories
    FROM fruit
    WHERE calories < ? AND colour = ?');
$sth->execute([$calories, $cilour]);

Написано более трёх лет назад

Антон Р. @anton_reut

FanatPHP, начинал изучение PHP вот с этой книги, так там в ПЕРВОЙ же главе про php СРАЗУ дается пример запроса с помощью PDO и подготовленных выражений и объясняется про безопасность.

Написано более трёх лет назад
FanatPHP @FanatPHP

Антон Р., это вы к чему?

Написано более трёх лет назад
Антон Р. @anton_reut

FanatPHP, просто к тому что в нормальных учебных материалах вопросы безопасности освещаются по ходу дела как сами собой разумеющиеся, и не надо придумывать самому такой каскад обработок.

Написано более трёх лет назад
FanatPHP @FanatPHP

Антон Р., а, да. Это верно, 100%

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 2

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

PHP

+1 ещё

Простой
Как распаковать .Z архив в PHP?
- 1 подписчик
- 2 часа назад
- 41 просмотр
0

ответов
PHP

+1 ещё

Простой
Почему клиент телеграма отсылает битый запрос?
- 1 подписчик
- 19 часов назад
- 95 просмотров
0

ответов
PHP

+2 ещё

Простой
Как в Drupal 10 массово проставить noindex для >1000 страниц?
- 1 подписчик
- 19 часов назад
- 37 просмотров
1

ответ
PHP

+1 ещё

Простой
Парсинг XML yandex?
- 1 подписчик
- вчера
- 91 просмотр
0

ответов
PHP

Простой
Заполнить не существующими датами из бд в графике apexcharts?
- 1 подписчик
- вчера
- 57 просмотров
2

ответа
PHP

+1 ещё

Средний
Почему одинаково-написанный curl запрос отдает разные ответы?
- 1 подписчик
- вчера
- 135 просмотров
0

ответов
PHP

Простой
Вывожу куки в корзине, куда записал товар, не выводит, в чем ошибка?
- 1 подписчик
- 17 апр.
- 83 просмотра
0

ответов
PHP

Простой
Функция str_replace() не работает?
- 1 подписчик
- 17 апр.
- 185 просмотров
3

ответа
PHP

+1 ещё

Простой
Как получить данные title на TradingView?
- 1 подписчик
- 17 апр.
- 31 просмотр
1

ответ
PHP

+2 ещё

Сложный
Интеграция Telegram с CRM системой. Что посоветуете?
- 1 подписчик
- 17 апр.
- 145 просмотров
1

ответ
Показать ещё Загружается…

PHP разработчик

Ведисофт • Екатеринбург

от 25 000 ₽

PHP-разработчик

M-Social Production • Брянск

от 70 000 ₽

PHP Developer

YCLIENTS • Москва

от 200 000 до 350 000 ₽

Поправить пхп скрипт

19 апр. 2024, в 16:53

1000 руб./за проект

Требуется настройка Яндекс Директа

19 апр. 2024, в 16:45

5000 руб./за проект

Разработать дизайн 3-х сайтов на Tilda

19 апр. 2024, в 16:22

30000 руб./за проект

Что значит, "вручную экранировать кавычки"?
Что за экранирование и как именно происходит отправка?
FanatPHP,
как именно происходит отправка

немного не поняла, что именно вы спросили
Что значит, "вручную экранировать кавычки"?

чтобы сообщение с одинарной кавычкой она же апостроф отправилось и эта кавычка в нем появилась, перед ней приходится вставлять обратный слэш
Я имею в виду, в каком виде отправляются данные и куда. Это просто текст или Джейсон?
Отправка в HTML или в js?
FanatPHP, эээ... насколько знаю, просто текст, js используется только при обновлении чата (раз в несколько секунд вызывается файлик, которые эти сообщения выводит лол)

точнее, там вот такая функция (#cats это как раз див с сообщениями)
function load_cats() { $.ajax({ type: "POST", url: "sichat.php", data: {}, cache: false, success: function(html) { $("#cats").empty(); $("#cats").append(html); $("#cats").scrollTop(); } }); }
Тогда странно, что надо экранировать кавычки. В HTML они никакой особенной роли не играют.

Попробуйте перед выводом применять только htmlspecialchars c параметром ENT_QUOTES
FanatPHP, о, спасибо! как-то раньше не замечала существование этого параметра
А при записи в бд правильнее всего никак не обрабатывать, а использовать подготовленные выражения. Если это непонятно, я объясню.
Ну или на самый крайний случай - обрабатывать переменную соответствующей *_escape_string, и обязательно заключать ее в одинарные кавычки в запросе

Answer 1 · 2019-08-07 02:35:16

Это называется "карго-культ код".

После второй мировой войны ученые вдруг заметили, что папуасы начали строить целые аэродромы из травы и палок. С самолётами, заправщиками и диспетчерскими службами. И заинтересовались этим феноменом.

Оказалось, что во время войны на острове папуасов был аэродром. И с неба прилетали такие штуки, которые привозили кучу ништяков, в основном пожрать. Потом война кончилась, военные ушли, и ништяков не стало.
Огорченные местные решили все взять в свои руки. И настроили самолётов из помета и палок. И сидят, ждут с тех пор ништяков.
Это называется "карго культ".

Приведенный тобой код - это такой же самолёт из сена, написан папуасом.
Он видел где-то несколько функций, но не понимает их смысла. И лепит из них травяной самолёт. Который не летает.
К примеру, любой человек, который понимает пхп хотя бы на базовом уровне (я знаю, таких мало, но они есть), легко приведет пример кода, который все равно пропустит sql-injection даже после всех этих шаманских заклинаний.
Потому что к защите они не имеют никакого отношения.

какие функции в нем на самом деле должны быть?

Никакие.

Любое "экранирование" должно применяться в зависимости от контекста.

Для защиты от sql-injection вообще никак не надо экранировать, а применять подготовленные выражения.

При выводе в HTML надо применять htmlspecialchars. Но только при выводе. А не перед записью в базу данных.

При выводе в каком-либо другом контексте, например в тело кода яваскрипт, правила будут другие.

Answer 2 · 2019-08-06 23:05:51

Этот код нужно удалить, тут написана ахинея, нужно все переписать с умом и пониманием, как делать. Но сначала надо разобраться. Вот хороший материал - phpfaq.ru/mysql/slashes

Answer 3 · 2019-08-07 10:45:44

Я обычно использую встроенную "защиту" PDO, обработка всяких GET и POST выглядит так:

$sql = 'INSERT INTO items SET
	        name = :name,
	        description = :description,
	        price = :price,
	        date = NOW(),
	        category_id = :category_id,
	        address = :address,
	        image = :image,
	        user_id = :user_id';
	    $s = $pdo->prepare($sql);
	    $s->bindValue(':name', $_POST['name']);
	    $s->bindValue(':description', $_POST['description']);
	    $s->bindValue(':price', $_POST['price']);
	    $s->bindValue(':address', $_POST['address']);
	    $s->bindValue(':category_id', $_POST['category_id']);
	    $s->bindValue(':image', $_FILES['image']['name']);
	    $s->bindValue(':user_id', $_SESSION['id']);
	    $s->execute();

Правильно ли написан код экранирования(?) строки и как он вообще должен работать?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт