escape_string VS real_escape_string VS addslashes VS quotes

Костян · 7 фев 2011

до кучи, просмто можно прочитать что написано жирным шрифтом
http://itdumka.com.ua/index.php?cmd=shownode&node=17

Devzirom · 7 фев 2011

Elkaz сказал(а):

PHP:

<?php

private function prepareParams($params) {

if (is_array($params)) {

foreach ($params as &$param) {

$param = $this->prepareParams($param);

}

} else {

if (is_string($params)) {

return "'" . $this->real_escape_string($params) . "'";

} elseif (is_bool($params)) {

return $params ? 1 : 0;

} elseif (is_null($params)) {

return 'NULL';

}

}

return $params;

}

Нажмите, чтобы раскрыть...

PHP:

<?php

header('Content-Type: text/plain');

if(isset($_POST['param']))

var_dump($_POST['param']);

//string(0) ""

$str1 = "";

$str2 = NULL;

var_dump($str1, $str2);

//string(0) ""

//NULL

var_dump(empty($str1) == empty($str2));

//bool(true)

var_dump(is_null($str1) == is_null($str2));

//bool(false)

?>

Дак что правильнее, empty или is_null?

[vs] · 7 фев 2011

Devzirom сказал(а):

$str1 = "";
Нажмите, чтобы раскрыть...

Это string

antonn · 7 фев 2011

Elkaz

return 'NULL';
Нажмите, чтобы раскрыть...

ты вернул строку?

Psih · 7 фев 2011

В общем-то спорить безполезно, потому что нужно читать внимательно.
addslashes обрабатывает только нуль-байт, двойные и одинарные кавычки, и собственно сам бекслеш. ВСЁ.

real_escape_string (причём учтите, ни в MySQLi, ни в PDO нету обычной escape_string - только real_escape_string, а в PDO идёт quote, которая использует нужную функцию из драйвера. В mysqlnd только real_escape_string и есть.) кодирует не только эти символы, но и некоторые дополнительные последовательности, а так же правильно понимает данные с учётом текущей кодировки. А данные в UTF-8 и windows-1251 разнятся в кодах прилично. Что в одном случае безобидная буква, в другом может оказаться кодом символа, который нужно кодировать.
Так же обратите внимание на формулировку - real_escape_string не добавляет слешей, она _кодирует_ спец символы, для безопастной вставки в базу. А это фундаментальная разница.

Костян · 8 фев 2011

да, верно, дело даже не в безопасности, а в адекватности процесса "положили в базу такое - выбираем и получаем такое же"

Hight · 8 фев 2011

Vladson сказал(а):

Тема задумывалась как "холиварная" но увы хороших троллей нету... =D
Нажмите, чтобы раскрыть...

Гонишь.

Все ваши проблемы решаются просто. Надо отказаться от базы и юзать файлы. БД - ЗЛО!!! Ацкое зло. Юзайте файлы и будет вам счастье.

Apple · 8 фев 2011

Hight сказал(а):

Юзайте файлы и будет вам счастье.
Нажмите, чтобы раскрыть...

Эээ, мужик, а БД - это те же файлы.
Так что мы и юзаем файлы под управлением.

Hight · 8 фев 2011

Apple сказал(а):

Эээ, мужик, а БД - это те же файлы.
Нажмите, чтобы раскрыть...

БД - это магия. Какие файлы?! А если у меня табличка в памяти? Причём тут файлы?!

Apple сказал(а):

Так что мы и юзаем файлы под управлением.
Нажмите, чтобы раскрыть...

Под каким ещё управлением. Пресловутый SQL? Да настоящие папы юзают чистые файлы без всякой SQL-магии.

Kreker · 8 фев 2011

[vs] · 8 фев 2011

Hight сказал(а):

Юзайте файлы и будет вам счастье.
Нажмите, чтобы раскрыть...

В файлах тоже должны быть символы, разделяющие данные! Все равно эскейпить придется! )

antonn · 8 фев 2011

у меня на файлах вначале была "виндовс" хранился уже парсеный html )

Vladson · 8 фев 2011

Hight сказал(а):

БД - это магия
Нажмите, чтобы раскрыть...

Люто плюсую DD

Apple · 8 фев 2011

Hight сказал(а):

А если у меня табличка в памяти? Причём тут файлы?!
Нажмите, чтобы раскрыть...

Вот именно, и причем тут мать вашу файлы?

Gromo · 8 фев 2011

Hight сказал(а):

Причём тут файлы?!
Нажмите, чтобы раскрыть...

Apple сказал(а):

причем тут мать вашу файлы?
Нажмите, чтобы раскрыть...

при чём тут

escape_string VS real_escape_string VS addslashes VS quotes
Нажмите, чтобы раскрыть...

?

Hight · 8 фев 2011

Тролля заказывали?! Заказывали. Вот и не нойте.

=)

Gromo · 8 фев 2011

тролля заказывали

А вообще возможно проскочить SQL-injection при использовании кодировки utf-8 ?
например, для экранирования данных, идущих в postgresql я использую addslashes.
могут ли сайту передаться данные в юникоде-16, когда сайт написан на ютф-8 ?

Ах, да, Пы.Сы. причём тут мать вашу файлы?!

Ensiferum · 8 фев 2011

я худею...

Апельсин · 8 фев 2011

your bunny wrote!

antonn · 8 фев 2011

Ах, да, Пы.Сы. причём тут мать вашу файлы?!
Нажмите, чтобы раскрыть...

Да я ваще не понимаю как в тему о сиськах прорвались эти иньекции!

Hight · 9 фев 2011

admyx · 12 фев 2011

Так же обратите внимание на формулировку - real_escape_string не добавляет слешей, она _кодирует_ спец символы, для безопастной вставки в базу. А это фундаментальная разница.
Нажмите, чтобы раскрыть...

Psih
Аминь

escape_string VS real_escape_string VS addslashes VS quotes

Костян Активный пользователь

Devzirom Активный пользователь

[vs] Суперстар
Команда форума Модератор

antonn Активный пользователь

Psih Активный пользователь
Команда форума Модератор

Костян Активный пользователь

Hight Старожил
Команда форума Модератор

Apple Активный пользователь

Hight Старожил
Команда форума Модератор

Kreker Старожил

[vs] Суперстар
Команда форума Модератор

antonn Активный пользователь

Vladson Старожил

Apple Активный пользователь

Gromo Активный пользователь

Hight Старожил
Команда форума Модератор

Gromo Активный пользователь

Ensiferum Активный пользователь

Апельсин Активный пользователь

antonn Активный пользователь

Hight Старожил
Команда форума Модератор

admyx Активный пользователь

Быстрый поиск

escape_string VS real_escape_string VS addslashes VS quotes

Костян Активный пользователь

Devzirom Активный пользователь

[vs] Суперстар Команда форума Модератор

antonn Активный пользователь

Psih Активный пользователь Команда форума Модератор

Костян Активный пользователь

Hight Старожил Команда форума Модератор

Apple Активный пользователь

Hight Старожил Команда форума Модератор

Kreker Старожил

[vs] Суперстар Команда форума Модератор

antonn Активный пользователь

Vladson Старожил

Apple Активный пользователь

Gromo Активный пользователь

Hight Старожил Команда форума Модератор

Gromo Активный пользователь

Ensiferum Активный пользователь

Апельсин Активный пользователь

antonn Активный пользователь

Hight Старожил Команда форума Модератор

admyx Активный пользователь

[vs] Суперстар
Команда форума Модератор

Psih Активный пользователь
Команда форума Модератор

Hight Старожил
Команда форума Модератор

Hight Старожил
Команда форума Модератор

[vs] Суперстар
Команда форума Модератор

Hight Старожил
Команда форума Модератор

Hight Старожил
Команда форума Модератор