A PHP-s karakter formátum validálás nem elég védelem az SQL injenction ellen?

"Hogyha szűröm, az idézőjel és egyéb "nem-betű" karaktereket, az nem elég védelem?"

De elég lehetne...

Itt nézd meg hogy hogy is megy ez: [link]

Például mert ez nem mindenhol elég.

Tegyük fel, hogy valódi nevet is be akarsz kérni.

Jön a pasas A három testőrből, és frankón úgy hívják, hogy D'Artagnan. Megmondod, hogy változtasson nevet? Az olasz meg francia nevek tele vannak aposztróffal, ami az egyik legveszélyesebb karakter SQL injection szempontjából.

Vagy jönnek a dánok meg a lengyelek az áthúzott betűs neveikkel...

Nézz utána: PDO

Példa egy prepare (előkészített SQL-re):

$stmt = $dbh->prepare("SELECT * FROM tabla WHERE nev = ? AND email = ?");

$stmt->execute([$_POST['nev'], $_POST['email']]);

Oszt letudva. SQL injektorokat meg ő maga lekezeli.

Ezek már kész megoldások, csak használni kell. Jah igen: már a nyelvekben is beleépítették, és nem csak a PHP-ra érvényez ez.

[link]

[link]

[link]

PDO is támadható:

$var = "\xbf\x27 OR 1=1 /*";

$query = 'SELECT * FROM test WHERE name = ? LIMIT 1';

$stmt = $pdo->prepare($query);

$stmt->execute(array($var));

Hmm.. javították. :-)

Mármint a PHP 5.5 -ös verzióban már nem megy.