Как правильно экранировать данные?
Доброе утро, сообщество! А как вы экранируете данные, которые от пользователя идут в базу? Я честно до последнего момента был уверен что PDO prepare() делает всю работу по экранированию, и засунуть в нее инъекцию не реально. Но один мой товарищ тихо мирно обычной инъекцией очистил мне табличку в базе, доказав что prepare() нифига не экранирует.
Есть масса способов, таких как addslashes, но было бы интересно послушать от вас. Вдруг все уже за меня придумано…
Есть масса способов, таких как addslashes, но было бы интересно послушать от вас. Вдруг все уже за меня придумано…
07 апреля 2015, 06:59
Комментарии: 5
Вдруг все уже за меня придумано…На хабре есть подробные статьи.
В MODX есть
— modx::escape(),
— modx::quote(),
— modx::stripTags,
— ну и напоследок убойный modx::sanitizeString.
А ежели сам пишешь PDO запрос, то используй bindParam.
Мне, почему-то, кажется, что автор неверно использовал PDO::prepare() без плейсхолдеров, а просто вручную составлял запрос, который потом засунул в эту функцию. Так, конечно, ничего не будет экранировано.
Вот правильный способ. Обратите внимание на
Вот правильный способ. Обратите внимание на
$this->xpdo->prepare($sql)->execute(array_values($record));
я подумал об этом же, кстати на стэке расписано более подробно об инъекции и о том что же является ее причиной в случае работы с PDO:
stackoverflow.com/questions/134099/are-pdo-prepared-statements-sufficient-to-prevent-sql-injection
stackoverflow.com/questions/134099/are-pdo-prepared-statements-sufficient-to-prevent-sql-injection
Может не совсем к месту вопрос, но всё равно задам
Есть вывод ресурсов
city:=":«Санкт–Петербург
в Санкт-Петербург приходится использовать тире, если ставить там „-“ (минус)
ничего не работает
как научить where корректно обрабатывать знак минус?
заэкранировать его както или что?
Есть вывод ресурсов
[[pdoResources?
&parents=`[[++locations_plans]]`
&tpl=`@INLINE <a href="[[+alias]]">[[+menutitle]]</a>`
&tvPrefix=``
&where=`{"city:=":"Санкт–Петербург","template:=":3}`
&includeTVs=`city`
]]city:=":«Санкт–Петербург
в Санкт-Петербург приходится использовать тире, если ставить там „-“ (минус)
ничего не работает
как научить where корректно обрабатывать знак минус?
заэкранировать его както или что?
Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
Здесь упомянуты:
| Компонент | Текущая версия | Закачки |
| pdoTools | 2.13.2-pl от 02.09.2021 | 54 157 |
Вчера в 21:12
Спасибо. Работает.
15 ноября 2024, 17:40
спасибо, несколько раз проверял и не заметил)
14 ноября 2024, 13:55
Сложна.
Я сделал с помощью js. Задал class для div c results
и вот так прописал
document.querySelector('.easycomm div').textContent = 'Отзывов пок...
14 ноября 2024, 11:50
Добрый день! Установил MarkdownEditorFrontend с modstore и xpdo выдало ошибку что не может найти сервис. К моему удивлению в транспортном пакете не на...
14 ноября 2024, 05:22
astro.build впервые слышу такой фреймворк. Вообще gtsAPI затачивался под primevue.org. Но в primevue вообще не никакой связи с api. Там api как хочешь...
13 ноября 2024, 10:55
Не все пожелания клиента нужно реализовывать. Одно дело когда желание обосновано бизнес-процессами, а другое дело клиент так видит. В данном случае, н...
13 ноября 2024, 10:28
Файл: core/components/msearch2/phpmorphy/src/fsa/access/fsa_sparse_file.php
Перед строкой 32 добавить:
if(!is_array($word)) {
$word = (a...
12 ноября 2024, 19:52
С ним славу богу все хорошо. Он пошел дальше по карьерной лестнице, оставил MODX позади и сейчас заглядывает к нам только поздороваться.
12 ноября 2024, 18:44
Благодарю!