ReSQL.ru
     
powered by simpleCommunicator - 2.0.61     © 2026 Programmizd 02
Мобильная версия    Контакт    Правила    FAQ    Помощь
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр
Форумы / MySQL [игнор отключен] [закрыт для гостей] / Поиск по бд
9 сообщений из 9, страница 1 из 1
Поиск по бд
    #39198455
WapxaZ
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
WapxaZ
Гость
Доброго времени суток. Проблема с организацией поиска, помогите разобраться.
Код:
Код: php
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
public function getProductsFromSearch($searchStr = '', $limit = '', $offset = '', $where = '')
    {

        require_once 'Zend/Session.php';
        $city_now = new Zend_Session_Namespace('Zend_City');
        if (!$city_now->city) {
            $city_now->city = 2;
        }
        if ($city_now->city == 1) {
            $where_active_city = ' and p.active_nk=1';
        } else {
            $where_active_city = ' and p.active_kem=1';
        }		
		 return self::find(
            'all',
            array(
                'select' => 'p.*, b.title as brand_title, b.image ',
                'from' => 'ind_product as p',
                'joins' =>
                    '	LEFT JOIN ind_category_product as cp ON p.id_product=cp.id_product
				
				LEFT JOIN ind_brand as b ON p.id_brand=b.id_brand
			',
                'conditions' => 'UPPER(p.title) like UPPER("%' . $searchStr . '%")
						     ' . $where . '  and p.title!="" and p.active=1 and cp.id_category is not null' . $where_active_city,
                'limit' => $limit,
                'offset' => $offset,
                'group' => '  p.id_product '

            )
    }



Строка для поиска, например "searchStr "= Светодиоды для воздушных шаров, выдает следующие результаты:
FM 34 Медвежонок в шарфике
Зажим для шарика БЕЛЫЙ 100 шт
AN 26" ФИГУРА/P35 HB Сюрприз с шарами
AN 30" ФИГУРА/P30 Смешарики Крош

Почему выводится "FM 34 Медвежонок в шарфике"? Как подправить чтоб выводилось четкое соответствие?
...
Рейтинг: 0 / 0
23.03.2016, 06:58
| Ответить | Цитировать | Написать  
Поиск по бд
    #39198457
tanglir
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
tanglir
Участник
WapxaZ,

покажите текст запроса, а не гкод, его формирующий.
...
Рейтинг: 0 / 0
23.03.2016, 07:16
| Ответить | Цитировать | Написать  
Поиск по бд
    #39198468
WapxaZ
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
WapxaZ
Гость
tanglir,

это то что осталось от предыдущих разработчиков, большей информацией не владею
...
Рейтинг: 0 / 0
23.03.2016, 08:12
| Ответить | Цитировать | Написать  
Поиск по бд
    #39198585
kormot
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
kormot
Участник
Включи логирование выполняемых запросов. Можно не для всего сервера БД, а в PHP например в методе find того класса, отрывок которого ты привёл в 1-м посте.
...
Рейтинг: 0 / 0
23.03.2016, 11:01
| Ответить | Цитировать | Написать  
Поиск по бд
    #39198604
miksoft
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
miksoft
Участник
WapxaZtanglir,

это то что осталось от предыдущих разработчиков, большей информацией не владеюРазбирайте код, смотрите что реально выполняет self::find().
И либо настройте логирование запросов в MySQL, либо сделайте его самостоятельно где-то внутри self::find().
...
Рейтинг: 0 / 0
23.03.2016, 11:09
| Ответить | Цитировать | Написать  
Поиск по бд
    #39198626
kormot
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
kormot
Участник
У меня тут немного офтоп, но выходящий из этого вопроса.
Знающие, подскажите по примеру ТС в частности тут:
Код: php
1.
                'conditions' => 'UPPER(p.title) like UPPER("%' . $searchStr . '%")


И из этого массива потом как я понимаю формируется итоговый SQL запрос.
Так вот если рассмотреть этот конкретно кусок передаваемый на формирование из него запроса, то параметр $searchStr туда вставляется без какого-либо экранирования. Нет ли тут потенциала для SQL-инъекций?

Как я понимаю SQL инъекции тут можно избежать в двух случаях:
- или этот параметр передаётся уже экранированным в этот метод ( getProductsFromSearch() )
- или в методе find() этого класса производится синтаксический разбор параметра 'conditions' с вычленением из него параметров, которые должны быть экранированы, экранированием их и состряпывание обратно строки conditions.

Второй вариант конечно совсем ад. Да и к тому же не помогающий при правильно оформленной инъекции.

Сам с Zend'ом не работал, поэтому интересно у тех кто эту кухню знает спросить.

ТС можешь проверить введя в качестве поискового параметра $searchStr= ' Запрос с кавычками " '
Должен выдать ошибку если инъекция возможна.

Просто реально интересно.
...
Рейтинг: 0 / 0
23.03.2016, 11:29
| Ответить | Цитировать | Написать  
Поиск по бд
    #39198635
tanglir
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
tanglir
Участник
kormotВторой вариант конечно совсем ад.Поэтому его никто нигде не реализует (если ошибаюсь, давайте названия. мне самому интересно). Скорее всего первый, а там уже всё зависит от радиуса кривизны кода, формирующего эту строку.
...
Рейтинг: 0 / 0
23.03.2016, 11:34
| Ответить | Цитировать | Написать  
Поиск по бд
    #39198647
kormot
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
kormot
Участник
tanglirПоэтому его никто нигде не реализует (если ошибаюсь, давайте названия. мне самому интересно)
Такой я не встречал, а вот похожий но технологически конечно более правильный - во всяких компонентах PDO или Doctrine используются. Когда запрос похожим образом описывается, но только все аргументы там передаются в виде именно аргументов, которые уже самой библиотекой экранируются при составлений запроса.

А тут какая-то мешанина из составления запроса, только путём склеивания готовых кусков SQL кода.
...
Рейтинг: 0 / 0
23.03.2016, 11:48
| Ответить | Цитировать | Написать  
Поиск по бд
    #39199322
miksoft
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
miksoft
Участник
Модератор: Оффтоп вынес в отдельную тему .
Если напутал и потерял чей-то пост - пишите.
...
Рейтинг: 0 / 0
24.03.2016, 10:10
| Ответить | Цитировать | Написать  
9 сообщений из 9, страница 1 из 1
Форумы / MySQL [игнор отключен] [закрыт для гостей] / Поиск по бд
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение   Полит. конфиден.  
NoSQL.ru       Кролег: Проекты, Новости, Чат       РЕД ФОРУМ       Фотоальбом: Участники, Встречи
Закрыть
start [/forum/topic.php?fid=47&msg=39198468&tid=1832017]:
 0ms
get settings:
 7ms
get forum list:
 9ms
check forum access:
 2ms
check topic access:
 2ms
track hit:
 170ms
get topic data:
 10ms
get forum data:
 2ms
get page messages:
 51ms
get tp. blocked users:
 2ms
others: 246ms
total:  501ms
созд. / загр.: 501ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]