Formchecking fonctions dans php

Question

Je travaille sur un formulaire d'inscription en PHP et je me demande quelles sont les fonctions essentielles pour s'assurer que ma base de données est sûre. Je suis sûr qu'il y a beaucoup de façons de protéger votre base de données ou d'en attaquer une, mais je demande l'avis de stackoverflow: quelles fonctions ou choses devez-vous appliquer à vos données avant de les insérer dans la base de données.

Aussi, supposons que j'échappe à la chaîne "Karl D'Hondt", qui devient "Karl D \ 'Hondt", j'aurai besoin d'une regex qui prenne en compte le \. Les noms ne contiennent normalement pas de tels symboles. Ou devrais-je simplement vérifier pour un; symbole dans toutes les chaînes et filtrer ceux ???

Il est un peu déroutant de penser à chaque façon que vous pouvez essayer d'empêcher quelque chose. C'est pourquoi je demande ici l'expérience des vétérans pour aider à décider d'une manière compacte, mais puissante et polyvalente de sécuriser les bases de données à partir des données qui sont envoyées via des formulaires.

Answer 1

Utilisez des instructions préparées pour empêcher vos données d'endommager votre base de données. N'essayez pas de le manipuler manuellement.

How can I prevent SQL injection in PHP?

Run htmlspecialchars sur les données avant de les écrire aux pages HTML pour protéger contre les attaques XSS.

Answer 2

function sql_quote($value) 
{ 
    if(get_magic_quotes_gpc()) 
    { 
      $value = stripslashes($value); 
    } 
    //check if this function exists 
    if(function_exists("mysql_real_escape_string")) 
    { 
      $value = mysql_real_escape_string($value); 
    } 
    //for PHP version < 4.3.0 use addslashes 
    else 
    { 
      $value = addslashes($value); 
    } 
    return $value; 
} 

Cela devrait faire du bon travail pour tout nettoyer.