[PHP] מה הייעוד של שני הפונקציות הבאות - הוסטס

Alon.R · 13-07-06, 01:19

PHP קוד:


			
mysql_real_escape_string
mysql_escape_string

הבנתי שזה קשור ל mysql inj ולאבטחה כמובן... השאלה היא מה הייעוד שלהן? מה הן עושות וכיצד הן עוזרות... (השעה 2 וחצי ככה שאני לא ממש מצליח להבין..)

miniature · 13-07-06, 01:29

mysql_escape_string - הוספת תווים לפני תווים מיוחדים.
mysql_real_escape_string - השמטת / החלפת תווים מיוחדים.

לא בטוח, תמיד תוכל להסתכל באתר www.php.net

Alon.R · 13-07-06, 01:40

הסתכלתי...
ואני גם לא בטוח...
יהיה נכון להשתמש בייעוד שלהן ככה:

mysql_real_escape_string($var);

mysql_query("SELECT............. WHERE id=$val");

ואז...בשביל להוציא לפלט את הערך שהוא חיפש למשל...
&quot ב" רגילאז נחליף את ה

str_replace("&quot",""",$val);

echo "נמצאו ..... תוצאות לערך'" . $val . "'";

RS324 · 13-07-06, 13:02

זה לא טוב למערכות גדולות....אתה צריך פתרון יעיל.. שלא תצטרך להתעסק בקטנות כל הזמן

miniature · 13-07-06, 13:08

ציטוט:

נכתב במקור על ידי RS324

זה לא טוב למערכות גדולות....אתה צריך פתרון יעיל.. שלא תצטרך להתעסק בקטנות כל הזמן

ומהו?
לאחר החזרת התווים מהמסד יש משהו טוב שאפשר לעשות (הקוד לא שלי):

PHP קוד:


			
 function quote_smart($value) 
{ 
   // Stripslashes 
   if (get_magic_quotes_gpc()) { 
       $value = stripslashes($value); 
   } 
   // Quote if not a number or a numeric string 
   if (!is_numeric($value)) { 
       $value = "'" . mysql_real_escape_string($value) . "'"; 
   } 
   return $value; 
}

RS324 · 13-07-06, 13:13

טוב אז ככה, קודם כל בקובץ גלובלי עשיתי שיבדוק אם MEGIC QOUTES פעיל או לא
אם כן מסיר את כל הסלאשים שהחרא הזה הוסיף ואז שם אותו על 0
ini_set(magic_qoutes_runtime,0) משהו כזה - לא זוכר בדיוק,
לאחר מכן עשיתי פונקציה שנקראת CLEAN שעובר על המערך ועושה MYSQL_REAL_ESCAPESTRING או את השני - לא זוכר כבר.
וזהו בעת ההכנסה למסד לא הייתה לי בעיה
ובעת ההוצאה מהמסד אין לי בעיה... וגם בדקתי עבור SQL INJECTION ואין עם זה שום בעיה

miniature · 13-07-06, 13:31

ציטוט:

נכתב במקור על ידי RS324

טוב אז ככה, קודם כל בקובץ גלובלי עשיתי שיבדוק אם MEGIC QOUTES פעיל או לא
אם כן מסיר את כל הסלאשים שהחרא הזה הוסיף ואז שם אותו על 0
ini_set(magic_qoutes_runtime,0) משהו כזה - לא זוכר בדיוק,
לאחר מכן עשיתי פונקציה שנקראת CLEAN שעובר על המערך ועושה MYSQL_REAL_ESCAPESTRING או את השני - לא זוכר כבר.
וזהו בעת ההכנסה למסד לא הייתה לי בעיה
ובעת ההוצאה מהמסד אין לי בעיה... וגם בדקתי עבור SQL INJECTION ואין עם זה שום בעיה

אים משהו יותר פשוט?

RS324 · 13-07-06, 15:16

זה הכי פשוט שיש כי לדוגמא לפני שאילתה אני פשוט עושה
$_GET = clean($_GET)
וזהו... זה בטוח מכל SQL INECJTION שתרצה

miniature · 13-07-06, 15:38

מה הפונקציה clean עושה?

RS324 · 13-07-06, 17:23

מגנה מפני SQL INJECTION בעזרת MYSQL_REAL_ESCAPE_STRING על כל אברי המערך
לפני שאילתה.

יש כמובן עוד פונקציה שמבטלת את ההשפעה של magic_qoutes_runtime שאני מריץ אותה בכל מקרה לפני.

13-07-06, 01:19	# 1
Alon.R הוסטסניון מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 2,435	[PHP] מה הייעוד של שני הפונקציות הבאות PHP קוד: `mysql_real_escape_string mysql_escape_string` הבנתי שזה קשור ל mysql inj ולאבטחה כמובן... השאלה היא מה הייעוד שלהן? מה הן עושות וכיצד הן עוזרות... (השעה 2 וחצי ככה שאני לא ממש מצליח להבין..)

13-07-06, 01:29	# 2
miniature חבר וותיק מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 1,754	mysql_escape_string - הוספת תווים לפני תווים מיוחדים. mysql_real_escape_string - השמטת / החלפת תווים מיוחדים. לא בטוח, תמיד תוכל להסתכל באתר www.php.net __________________ יואב. דרכים ליצירת קשר: אימייל: thebigfire@walla.co.il הודעה פרטית

13-07-06, 15:38	# 9
miniature חבר וותיק מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 1,754	מה הפונקציה clean עושה? __________________ יואב. דרכים ליצירת קשר: אימייל: thebigfire@walla.co.il הודעה פרטית


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

13-07-06, 01:40	# 3
Alon.R הוסטסניון מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 2,435	הסתכלתי... ואני גם לא בטוח... יהיה נכון להשתמש בייעוד שלהן ככה: mysql_real_escape_string($var); mysql_query("SELECT............. WHERE id=$val"); ואז...בשביל להוציא לפלט את הערך שהוא חיפש למשל... &quot ב" רגילאז נחליף את ה str_replace("&quot",""",$val); echo "נמצאו ..... תוצאות לערך'" . $val . "'";

13-07-06, 13:02	# 4
RS324 תודה על תרומתך. מיני פרופיל תאריך הצטרפות: May 2006 הודעות: 3,173	זה לא טוב למערכות גדולות....אתה צריך פתרון יעיל.. שלא תצטרך להתעסק בקטנות כל הזמן

13-07-06, 13:13	# 6
RS324 תודה על תרומתך. מיני פרופיל תאריך הצטרפות: May 2006 הודעות: 3,173	טוב אז ככה, קודם כל בקובץ גלובלי עשיתי שיבדוק אם MEGIC QOUTES פעיל או לא אם כן מסיר את כל הסלאשים שהחרא הזה הוסיף ואז שם אותו על 0 ini_set(magic_qoutes_runtime,0) משהו כזה - לא זוכר בדיוק, לאחר מכן עשיתי פונקציה שנקראת CLEAN שעובר על המערך ועושה MYSQL_REAL_ESCAPESTRING או את השני - לא זוכר כבר. וזהו בעת ההכנסה למסד לא הייתה לי בעיה ובעת ההוצאה מהמסד אין לי בעיה... וגם בדקתי עבור SQL INJECTION ואין עם זה שום בעיה

13-07-06, 15:16	# 8
RS324 תודה על תרומתך. מיני פרופיל תאריך הצטרפות: May 2006 הודעות: 3,173	זה הכי פשוט שיש כי לדוגמא לפני שאילתה אני פשוט עושה $_GET = clean($_GET) וזהו... זה בטוח מכל SQL INECJTION שתרצה

13-07-06, 17:23	# 10
RS324 תודה על תרומתך. מיני פרופיל תאריך הצטרפות: May 2006 הודעות: 3,173	מגנה מפני SQL INJECTION בעזרת MYSQL_REAL_ESCAPE_STRING על כל אברי המערך לפני שאילתה. יש כמובן עוד פונקציה שמבטלת את ההשפעה של magic_qoutes_runtime שאני מריץ אותה בכל מקרה לפני.

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)