[PHP] Cosa usate x fare escape dei caratteri in input ed evitare SqlInject?

Matrixbob · 24-07-2010, 15:37

addslashes
htmlspecialchars
htmlentities
mysql_real_escape_string
urlencode
mysqli_prepare

......................................................

wingman87 · 24-07-2010, 15:50

addslashes: http://php.net/manual/en/function.addslashes.php

htmlspecialchars serve a sostituire i caratteri speciali (non so se si chiamano proprio così) in entità html, quindi ad esempio & verrà sostituito con & e < con <
E' molto utile per evitare gli attacchi xss: Prima di stampare i dati presi dal database o passati tramite post o get gli dai una passata con htmlentities.

Matrixbob · 24-07-2010, 15:52

Quote:

Originariamente inviato da wingman87

addslashes: http://php.net/manual/en/function.addslashes.php

OK, e sta famosa get_magic_quotes_gpc() ormai è dreprecata?

wingman87 · 24-07-2010, 15:55

Non mi sembra (da quanto leggo nella documentazione), ti conviene fare sempre il controllo

lock cmpxchg8b %ebx · 24-07-2010, 15:57

http://www.php.net/manual/en/mysqli.prepare.php

Matrixbob · 24-07-2010, 15:58

Quote:

Originariamente inviato da lock cmpxchg8b %ebx

http://www.php.net/manual/en/mysqli.prepare.php

MySqlI non presuppone che utilizzi mysqlI?
CMQ studio anche quello, 1 altro utene sul foru postò:
PHP Security Guide

lock cmpxchg8b %ebx · 24-07-2010, 16:42

Quote:

Originariamente inviato da Matrixbob

MySqlI non presuppone che utilizzi mysqlI?

Si, perché?
È soltanto un modulo di PHP diverso, il database d'appoggio è sempre MySQL.

Matrixbob · 24-07-2010, 17:56

Quote:

Originariamente inviato da lock cmpxchg8b %ebx

Si, perché?
È soltanto un modulo di PHP diverso, il database d'appoggio è sempre MySQL.

Ah ok, tutto pienamente compatibile?

Matrixbob · 24-07-2010, 17:56

Quote:

Originariamente inviato da lock cmpxchg8b %ebx

Si, perché?
È soltanto un modulo di PHP diverso, il database d'appoggio è sempre MySQL.

Ah ok, tutto pienamente compatibile?

Matrixbob · 24-07-2010, 17:56

Quote:

Originariamente inviato da lock cmpxchg8b %ebx

Si, perché?
È soltanto un modulo di PHP diverso, il database d'appoggio è sempre MySQL.

Ah ok, tutto pienamente compatibile?

dojolab · 24-07-2010, 18:27

Quote:

Originariamente inviato da Matrixbob

OK, e sta famosa get_magic_quotes_gpc() ormai è dreprecata?

Si può disattivare dal PHP.ini, solo in PHP6 verrà tolta (così si dice).
Io uso una mia funzione che elimina determinati caratteri (in sequenza) ed esegue l'escape finale con addslashes.

Hiskrtapps · 26-07-2010, 10:36

Quote:

Originariamente inviato da Matrixbob

Ah ok, tutto pienamente compatibile?

Si, ed è la soluzione più corretta.

Matrixbob · 26-07-2010, 10:58

Quote:

Originariamente inviato da Matrixbob

?

htmlspecialchars
htmlentities
mysql_real_escape_string
urlencode

Quindi basta la sola mysqli_prepare? Stop? Nessuna di queste altre?
Non funzionasse sugli Host tipo Aruba/Netsons sarebbe perchè non hanno caricato il modulo?
Oppure non c'è possibilità che non funzioni? Dove c'è PHP5 c'è questo set di funzioni?

Ho visto che c'è sia OO che procedurale, dato che restituisce la stessa cosa "mysqli_stmt" posso usare nella mia procedura anche quella ad oggetti o è meglio non mischiare?

Quote:

Object oriented style

Codice PHP:


			
mysqli_stmt mysqli::prepare ( string $query )

Procedural style

Codice PHP:


			
mysqli_stmt mysqli_prepare ( mysqli $link , string $query )

Noto:

Codice PHP:


			
$link = mysqli_connect("localhost", "my_user", "my_password", "world");

devo cambiare tutte le varie aperture/chiusure con le nuove mysqli_X?

Matrixbob · 26-07-2010, 11:14

Piccolo

voi per caso utilizzate anche

Codice PHP:


			
mysql_free_result($result);

oppure a fine script c'è auto dispose del fetch?

Matrixbob · 28-07-2010, 17:34

UP!
Questo lo chiudiamo con la soluzione: "mysqli_prepare"?

malocchio · 29-07-2010, 00:37

Quote:

Originariamente inviato da Matrixbob

UP!
Questo lo chiudiamo con la soluzione: "mysqli_prepare"?

Mi permetto di fare il pignolo e precisare che la soluzione non è "mysqli_prepare", ma l'utilizzo dei Prepared Statements (supportati appunto solo dalla libreria MySQLi). La funzione mysqli_prepare è solo il primo passo per ottenere un resultset da uno statement.
La cosa interessante è che viene fatto automaticamente dal sistema l'escaping dei valori assegnati ai parametri dello statement.

Attenzione che però la libreria MySQLi non è supportata da tutti gli hosting, soprattutto quelli gratuiti, quindi informarsi bene prima di utilizzarla.

Matrixbob · 18-09-2010, 10:04

Quote:

Originariamente inviato da lock cmpxchg8b %ebx

http://www.php.net/manual/en/mysqli.prepare.php

Rieccomi rientrato da vacanze e tour in London per vedre se migrare

spero vi siate riposati a che voi! [chiuso

]
Effettivamente vedo che ritorna un mysqli statemant

Quote:

mysqli_stmt mysqli_prepare ( mysqli $link , string $query )

, quindi non un testo normale che posso inserire, ma qualcosa a usare con altri mysqli:qualcosa?

Matrixbob · 18-09-2010, 10:09

Quote:

Originariamente inviato da Matrixbob

Rieccomi rientrato da vacanze e tour in London per vedre se migrare

spero vi siate riposati a che voi! [chiuso

]
Effettivamente vedo che ritorna un mysqli statemant

, quindi non un testo normale che posso inserire, ma qualcosa a usare con altri mysqli:qualcosa?

Eh si, intuitivamente direi di si leggendo la spiegazione del prepare

Quote:

Procedural style only: A link identifier returned by mysqli_connect() or mysqli_init()

, devo passare i mysql_ a mysqli_

Sto iniziando col cambiare il tipico

Codice PHP:


			
//Stringa di connessione

$connessione=@mysql_connect($server, $utente, $password) or die(errore());

//selezione del database

$db=mysql_select_db($database, $connessione) or die(errore());

con

Codice PHP:


			
//Stringa di connessione e selezione del database

$link = @mysqli_connect($server, $utente, $password, $database);

/* check connection */

if (!$link) {

    die('Connect Error: ' . mysqli_connect_error() . ' ' . mysqli_connect_errno());

}

Matrixbob · 18-09-2010, 10:27

Ma nell'esempio del manuale online qui sotto riportato

Codice PHP:


			
$city = "Amersfoort";

$link = mysqli_connect("localhost", "my_user", "my_password", "world");



/* create a prepared statement */

if ($stmt = mysqli_prepare($link, "SELECT District FROM City WHERE Name=?")) {



    /* bind parameters for markers */

    mysqli_stmt_bind_param($stmt, "s", $city);



    /* execute query */

    mysqli_stmt_execute($stmt);



    /* bind result variables */

    mysqli_stmt_bind_result($stmt, $district);



    /* fetch value */

    mysqli_stmt_fetch($stmt);



    printf("%s is in district %s\n", $city, $district);



    /* close statement */

    mysqli_stmt_close($stmt);

}

, a che servono i due "bind"

Codice PHP:


			
/* bind parameters for markers */

mysqli_stmt_bind_param($stmt, "s", $city);

e

Codice PHP:


			
/* bind result variables */

mysqli_stmt_bind_result($stmt, $district);

, sono obbligatori altrimenti exec e fetch non funzionano?

Matrixbob · 18-09-2010, 10:57

Ok funziona. Ma in questo modo non devo fare l'escape di nient'altro? Only mysqli statement and stop?

Codice PHP:


			
<?php

    include("connetti.php");

    $titolo = strtoupper($titolo);

    $datatime = date('Y-m-d H:i:s');

    $query = "INSERT INTO privato (u_modifica, titolo, testo) VALUES (?, ?, ?)";                

    if ($stmt = mysqli_prepare($link, $query))

        {

        mysqli_stmt_bind_param($stmt, 'sss', $datatime, $titolo, $testo);

        print("<font color=\"green\">Elemento:<br />$titolo<br />inserito correttamente.</font><br />");

        mysqli_stmt_execute($stmt);

        }

    else{ die(errore()); }                                         

    include("disconnetti.php");

    print("<meta http-equiv=\"Refresh\" content=\"5; url=http://$HTTP_HOST/ciccio/pasticcio.php\" />");

?>

24-07-2010, 15:37	#1
Matrixbob Senior Member Iscritto dal: Jul 2001 Messaggi: 9947	[PHP] Cosa usate x fare escape dei caratteri in input ed evitare SqlInject? addslashes htmlspecialchars htmlentities mysql_real_escape_string urlencode mysqli_prepare ...................................................... __________________ Aiuta la ricerca col tuo PC: >>Calcolo distribuito BOINC.Italy: unisciti anche tu<< Più largo è il sorriso, più affilato è il coltello. Ultima modifica di Matrixbob : 18-09-2010 alle 10:01.

24-07-2010, 15:50	#2
wingman87 Senior Member Iscritto dal: Nov 2005 Messaggi: 2782	addslashes: http://php.net/manual/en/function.addslashes.php htmlspecialchars serve a sostituire i caratteri speciali (non so se si chiamano proprio così) in entità html, quindi ad esempio & verrà sostituito con & e < con < E' molto utile per evitare gli attacchi xss: Prima di stampare i dati presi dal database o passati tramite post o get gli dai una passata con htmlentities. Ultima modifica di wingman87 : 24-07-2010 alle 15:53.

26-07-2010, 11:14	#14
Matrixbob Senior Member Iscritto dal: Jul 2001 Messaggi: 9947	Piccolo voi per caso utilizzate anche Codice PHP: `mysql_free_result($result);` oppure a fine script c'è auto dispose del fetch? __________________ Aiuta la ricerca col tuo PC: >>Calcolo distribuito BOINC.Italy: unisciti anche tu<< Più largo è il sorriso, più affilato è il coltello.

28-07-2010, 17:34	#15
Matrixbob Senior Member Iscritto dal: Jul 2001 Messaggi: 9947	UP! Questo lo chiudiamo con la soluzione: "mysqli_prepare"? __________________ Aiuta la ricerca col tuo PC: >>Calcolo distribuito BOINC.Italy: unisciti anche tu<< Più largo è il sorriso, più affilato è il coltello.

18-09-2010, 10:27	#19
Matrixbob Senior Member Iscritto dal: Jul 2001 Messaggi: 9947	Ma nell'esempio del manuale online qui sotto riportato Codice PHP: $city = "Amersfoort"; $link = mysqli_connect("localhost", "my_user", "my_password", "world"); /* create a prepared statement / if ($stmt = mysqli_prepare($link, "SELECT District FROM City WHERE Name=?")) { / bind parameters for markers / mysqli_stmt_bind_param($stmt, "s", $city); / execute query / mysqli_stmt_execute($stmt); / bind result variables / mysqli_stmt_bind_result($stmt, $district); / fetch value / mysqli_stmt_fetch($stmt); printf("%s is in district %s\n", $city, $district); / close statement / mysqli_stmt_close($stmt); } , a che servono i due "bind" Codice PHP: `/ bind parameters for markers / mysqli_stmt_bind_param($stmt, "s", $city);` e Codice PHP: `/ bind result variables / mysqli_stmt_bind_result($stmt, $district);` , sono obbligatori altrimenti exec e fetch non funzionano? __________________ Aiuta la ricerca col tuo PC: >>Calcolo distribuito BOINC.Italy: unisciti anche tu<<* Più largo è il sorriso, più affilato è il coltello.

24-07-2010, 15:55	#4
wingman87 Senior Member Iscritto dal: Nov 2005 Messaggi: 2782	Non mi sembra (da quanto leggo nella documentazione), ti conviene fare sempre il controllo

24-07-2010, 15:57	#5
lock cmpxchg8b %ebx Member Iscritto dal: Apr 2010 Messaggi: 56	http://www.php.net/manual/en/mysqli.prepare.php

18-09-2010, 10:57	#20
Matrixbob Senior Member Iscritto dal: Jul 2001 Messaggi: 9947	Ok funziona. Ma in questo modo non devo fare l'escape di nient'altro? Only mysqli statement and stop? Codice PHP: <?php include("connetti.php"); $titolo = strtoupper($titolo); $datatime = date('Y-m-d H:i:s'); $query = "INSERT INTO privato (u_modifica, titolo, testo) VALUES (?, ?, ?)"; if ($stmt = mysqli_prepare($link, $query)) { mysqli_stmt_bind_param($stmt, 'sss', $datatime, $titolo, $testo); print("<font color=\"green\">Elemento:<br />$titolo<br />inserito correttamente.</font><br />"); mysqli_stmt_execute($stmt); } else{ die(errore()); } include("disconnetti.php"); print("<meta http-equiv=\"Refresh\" content=\"5; url=http://$HTTP_HOST/ciccio/pasticcio.php\" />"); ?> __________________ Aiuta la ricerca col tuo PC: >>Calcolo distribuito BOINC.Italy: unisciti anche tu<< Più largo è il sorriso, più affilato è il coltello. Ultima modifica di Matrixbob : 18-09-2010 alle 13:31.

Strumenti
Mostra una versione stampabile Invia questa pagina per email