A mysqli_real_escape_string() függvény használata

Posted on by Neunet Bt. admin

A mysqli_real_escape_string() függvény használata

A php weboldalunk egyik sebezhetősége általában az SQL Injection, az adatbázis sérülékenységből adódó hozzáférés. Egy példa, hogy egy ilyen hiba kihasználásával adminisztrátori hozzáférést szereznek a weboldalhoz, majd ezen keresztül módosíthatják az oldalt.

Az egyik tipikus hiba a belépéskor, és általában mindenféle adat megadáskor a bemenő adat ellenőrzésének a hibája. Mint már a korábbi mysql_real_escape_string() függvénnyel foglalkozó bejegyzésben jeleztük, az adatbázis lekérdezéshez az összes változót ellenőrizzük, vagy a mysqli_real_escape_string függvénnyel szűrjük meg a felhasználás előtt.

Példa a mysqli_real_escape_string() függvény alkalmazására

<?php

 $con=mysqli_connect("localhost","dbuser","dbpassword","dbname");

// Kapcsolódás ellenőrzése
 if (mysqli_connect_errno()) {
 echo "Adatbázi kapcsolódási hiba: " . mysqli_connect_error();
 }

// bejövő változók biztonsági szűrése
 $fname = mysqli_real_escape_string($con, $_POST['fname']);
 $lname = mysqli_real_escape_string($con, $_POST['lname']);
 $passwd = mysqli_real_escape_string($con, $_POST['passwd']);

$sql="INSERT INTO Logins (FName, LName, Passwd) VALUES ('$fname', '$lname', '$passwd')";

if (!mysqli_query($con,$sql)) {
 die('Hiba: ' . mysqli_error($con));
 }
 echo "1 record beszúrva.";

mysqli_close($con);
 ?>

Mint a fenti példa mutatja, az adatbázis lekérdezésben használt összes változót a mysqli_real_escape_string() segítségével megtisztítjuk a biztonság érdekében.

Egy gyors és jó megoldás lehet, ha a php kódunkban az összes hasonló módon használt  változót vizsgálunk íly módon, tehát nem kell egyesével beépítenünk a függvényt. Például azt mondhatjuk, hogy az összes $_POST változót áttöltünk és egyben meg is escape-eljük a mysql_real_escape_string() paranccsal:

$postarray = array_map("mysql_real_escape_string", $_POST);

Természetesen ebben az esetben a továbbiakban nem a $_POST tömbön kereszül használjuk az adatokat, hanem a $postarray tömbben lévőket.

A mysqli_real_escape_string() függvény hatása

Normál körülmények között a függvény használatában nem ér minket hátrány, ha figyelembe vesszük, hogy ez a védelem, milyen szekvenciákat nem enged meg.

Fontos megjegyezni, hogy ez a függvény sem véd meg minket az SQL injection-től. Sok egyszerű támadást, hibát kerülhetünk el a segítségével, de nem minden hibás hozzáférést fog megakadályozni.

Hasonló bejegyzések:

mysql_real_escape_string szükségességemysql_real_escape_string szükségessége PHP mysql_real_escape_string szükségessége Amennyiben van egy PHP-vel készített weboldalunk, amely adatbázis segítségével, tárol adatokat, vagy épp abban keresünk adatokat, szinte…
Bash biztonsági hiba, Shellshock bug. Javítás: sürgős frissítésselBash biztonsági hiba, Shellshock bug. Javítás:… Bash biztonsági hiba, Shellshock bug. Javítás: sürgős frissítéssel "A Red Hat biztonsági szakértői olyan sebezhetőséget találtak a Bashben, amelyet sokan…
Wordpress Warning: Missing required hCard "author"WordPress Warning: Missing required hCard "author" WordPress Warning: Missing required hCard "author" Amennyiben wordpress segítségével készítünk weboldalt és használjuk a Google webmaster tools eszközét, ott a…
Maildrop SPAM szűrés példákMaildrop SPAM szűrés példák Maildrop SPAM szűrés példák Linuxon a  levelező szerver egyik email szűrő megoldása a maildrop. Egy gyakorlati példán keresztül szemléltetjük a…
301 átirányítás Nem-WWW linkről WWW linkre301 átirányítás Nem-WWW linkről WWW linkre 301 keresőbarát átirányítás Nem-WWW linkről WWW linkre A tartalmi duplikációk egyik levédése, ha egy átirányítással megoldjuk, hogy mind www, mind…
Openssh felhasználó hozzáférés korlátozásaOpenssh felhasználó hozzáférés korlátozása Openssh felhasználó hozzáférés korlátozása Amennyiben foglalkozunk linux rendszerünk biztonságával és így kellően kevés felhasználó férhet hozzá operációs rendszer szinten a…

No Comments.

Leave a Reply