Безопасен ли путь входящих данных от пользователя от SQL-инъекций? / MySQL

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / MySQL [игнор отключен] [закрыт для гостей] / Безопасен ли путь входящих данных от пользователя от SQL-инъекций?

2 сообщений из 2, страница 1 из 1

Безопасен ли путь входящих данных от пользователя от SQL-инъекций?

#39662747

kormot

Участник

Сообщения: 292

Рейтинг: 0 / 0

Добрый день!

Скажите пожалуйста, есть ли путь к манипуляциям с входными данными для атак типа SQL инъекция?

Пользователь передаёт в php приложение произвольную строку в POST запросе.

Приложение использует данные так:

Код: php

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.

//Подключение к БД
$dbLink = mysqli_connect(..., ..., ...);

//Исходная входная строка
$inData = $_POST['inStr'];

//Экранируем её MySQL'ем
$inData = $dbLink->real_escape_string($inData);

//Выполняем запрос к БД
$result = $dbLink->query('SELECT JSON_SET(aa.jsonField, "$.info", "'.$inData.'") FROM json_table aa');

Вопрос собственно достаточно ли для использования входящих от пользователя данных в JSON манипуляциях в запросе экранировать строку таким образом?

...

Рейтинг:

0 / 0

20.06.2018, 00:28

| Ответить | Цитировать | Написать

Безопасен ли путь входящих данных от пользователя от SQL-инъекций?

#39662954

ScareCrow

Участник

Откуда: Белый город

Сообщения: 16 205

Рейтинг: 0 / 0

авторВопрос собственно достаточно ли для использования входящих от пользователя данных в JSON манипуляциях в запросе экранировать строку таким образом?

нет. надо пользоваться bind параметрами.

...

Рейтинг:

0 / 0

20.06.2018, 12:07

| Ответить | Цитировать | Написать

2 сообщений из 2, страница 1 из 1

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=47&tid=1829788]:	0ms
get settings:	9ms
get forum list:	13ms
check forum access:	3ms
check topic access:	3ms
track hit:	41ms
get topic data:	11ms
get forum data:	2ms
get page messages:	38ms
get tp. blocked users:	1ms
others:	231ms

total:	352ms