1 Тема від bunyk

  • bunyk
  • Replace Team
  • Поза форумом
  • Звідки: Франик
  • Дата реєстрації: 24.07.2012
  • Повідомлень: 959
    • Репутація: 751

Тема: Безпечні екрановані SQL запити (перекладіть мені з Python)

Я страждаю... :(

От я роблю запити так:

        $result = mysql_query(
            "select count(*) from streets where name='$name';"
        ) or die(mysql_error());

Але це не добре, тому що
http://cybportal.univ.kyiv.ua/w/images/%D0%9C%D0%B0%D0%BC%D0%B8%D0%BD%D1%96_%D0%B5%D0%BA%D1%81%D0%BF%D0%BB%D0%BE%D1%96%D1%82%D0%B8.png

Прочитав що є такий ніштячок як mysql_real_escape_string. Реально крута назва для функції, але кожну змінну загорнути я можу й забути. Тепер питання, чи можу я написати функцію sq, так щоб вона працювала наступним чином:

def sq(query, **params):
    return mysql_query(query.format(
        **{k: mysql_real_escape_string(v) for k, v in params.items()}
    )) or die(mysql_error())

Тобто щоб можна було викликати 

sq("select count(*) from streets where name='{name}';", name=$name);

І все було безпечно.

bunyk вебсайт

2 Відповідь від User 298

  • User 298
  • Гість

Re: Безпечні екрановані SQL запити (перекладіть мені з Python)

bunyk написав:

Тобто щоб можна було викликати 

sq("select count(*) from streets where name='{name}';", name=$name);

І все було безпечно.

А так хіба не працює?

$r=mysql_query(mysql_real_escape_string("select count(*) from streets where name='$name';"));

3 Відповідь від bunyk

  • bunyk
  • Replace Team
  • Поза форумом
  • Звідки: Франик
  • Дата реєстрації: 24.07.2012
  • Повідомлень: 959
    • Репутація: 751

Re: Безпечні екрановані SQL запити (перекладіть мені з Python)

Bartash написав:

А так хіба не працює?

$r=mysql_query(mysql_real_escape_string("select count(*) from streets where name='$name';"));

Звичйно ні:

php > $name = "Bunyk's";
php > echo mysql_real_escape_string("select count(*) from streets where name='$name';");
select count(*) from streets where name=\'Bunyk\'s\';

Треба щоб лапку в слові "Bunyk's" ескейпило, а лапки запиту - ні, інакше синтаксична помилка SQL.

bunyk вебсайт

4 Відповідь від Invader

  • Invader
  • Invader
  • Replace Group
  • Поза форумом
  • Дата реєстрації: 13.08.2012
  • Повідомлень: 2 047
    • Репутація: 575

Re: Безпечні екрановані SQL запити (перекладіть мені з Python)

Може вже краще mysqli_real_escape_string?

5 Відповідь від bunyk

  • bunyk
  • Replace Team
  • Поза форумом
  • Звідки: Франик
  • Дата реєстрації: 24.07.2012
  • Повідомлень: 959
    • Репутація: 751

Re: Безпечні екрановані SQL запити (перекладіть мені з Python)

Можливо краще, хоча проблема не в цьому.

Проблема в тому як підставити наприклад масив в рядок?

bunyk вебсайт

6 Відповідь від Invader Востаннє редагувалося Invader (13.03.2013 02:02:51)

  • Invader
  • Invader
  • Replace Group
  • Поза форумом
  • Дата реєстрації: 13.08.2012
  • Повідомлень: 2 047
    • Репутація: 575

Re: Безпечні екрановані SQL запити (перекладіть мені з Python)

Я не зовсі м розумію що потрібно, але може якось так:

array_walk($names, create_function('&$name', '$name = mysqli_real_escape_string($name)');

Так:

mysql_query("select count(*) from streets where name = 
create_function('$name', 'if(is_array($name)){
foreach($name as $val){
    return mysql_real_escape_string($val);
}} else {
    return mysql_real_escape_string($name);
}');");

Буде створена анонімна функція яка поверне результат виконання функції mysqli_real_escape_string. Якщо $name — масив, то функція mysqli_real_escape_string буде застосована до кожного елементу масиву. ТІльки от, скоріш за все,  буде where name = останній_елемент_масиву. Хоча я не впевнений.

7 Відповідь від Replace

  • Replace
  • Replace Team
  • Поза форумом
  • Звідки: Київ
  • Дата реєстрації: 06.04.2012
  • Повідомлень: 2 895
    • Репутація: 2106

Re: Безпечні екрановані SQL запити (перекладіть мені з Python)

використовувати framework або pdo =)

Подякували: bunyk1

Replace вебсайт

8 Відповідь від Vo_Vik

  • Vo_Vik
  • Replace Team
  • Поза форумом
  • Дата реєстрації: 01.10.2012
  • Повідомлень: 4 784
    • Репутація: 2493

Re: Безпечні екрановані SQL запити (перекладіть мені з Python)

Як варіант:

$sqlVariables['name'] = 'Robert\'; DROP TABLE student;';
array_map('mysql_real_escape_string', $sqlVariables);
$result = mysql_query(
    "select count(*) from streets where name='".$sqlVariables['name']."';"
) or die(mysql_error());

Vo_Vik вебсайт

9 Відповідь від funivan

  • funivan
  • funivan
  • Replace Team
  • Поза форумом
  • Звідки: Київ
  • Дата реєстрації: 24.09.2012
  • Повідомлень: 2 005
    • Репутація: 927

Re: Безпечні екрановані SQL запити (перекладіть мені з Python)

$db = new PDO('mysql:host=localhost;dbname=testdb;charset=utf8', 'username', 'password');

$stmt = $db->prepare("SELECT * FROM table WHERE id=:id AND name=:name");
$stmt->bindValue(':id', $id);
$stmt->bindValue(':name', $name);
$stmt->execute();
$rows = $stmt->fetchAll(PDO::FETCH_ASSOC);

Красиво можна оптимізувати код засунути деякі фішки у ф-цію і маєте простий клас для роботи з базою при тому надійний ;) Удачі =)

Подякували: bunyk2

funivan вебсайт