Порядок обработки данных перед сохранением в базу данных

Question

Чтобы не было XSS-инъекций, нужно использовать strip_tags(), htmlspecialchars(), htmlentities() при выводе пользовательского ввода. Думаю что лучше использовать strip_tags() и\или htmlentities().

Если этот вывод читается из базы данных, то сначала данные должны быть записаны в базу данных и тут появляются вопросы:

Что и в какой последовательности применять к данным которые буду писаться в базу данных?

2.1 Об stmt-запросах я знаю и понимаю https://www.php.net/manual/ru/mysqli.quickstart.prepared-statements.php

2.2 Хочу узнать примерные варианты порядка обработки данных перед сохранением в таблицу.

2.2.1 Сначала stip_tags() и\или htmlentities() -> (если нужно сохранить какое-то html форматирование в безопасном режиме)

2.2.2 потом mysqli_real_escape_string() - ?

2.2.3 Замена % и _ ( $more_escaped = addcslashes($escaped, '%_'); )

2.2.4 "теги", типа [b][code][i] [url] использовать для обработки ПЕРЕД выводом данных.

3. В сети была замечательная статья о sql-инъекциях при помощи\на основе многобайтных кодировок. Кто что знает об этом способе sql-инъекций?

Да вот еще что, одинарных кавычек два типа:

` и '

какая-то из них не экранируется, нужно проверять?

Если не экранируется, то нужно экранировать отдельно (так как с _ и %)?

Answer 1

В базу данных по возможности записывается весь текст без изменений, хотя бы для того, чтобы можно было восстановить порядок событий, кто, что, с какой целью загрузил и какого эффекта хотел добиться. Поэтому перед записью текст по возможности не фильтруется (даже если в нем откровенно деструктивная информация), а лишь экранируется. Если вы вставляете строки или цифры непосредственно в строку SQL-запроса, строки нужно обязательно экранировать, а цифры приводить к числовому значению, чтобы избежать SQL-инъекций.

Правда в последнее время получили распространение расширения mysqli и PDO, которые позволяют вставлять параметризированные запросы, prepare или stmt-запросы. Например

$query = "SELECT * 
          FROM catalogs
          WHERE catalog_id = :catalog_id";
$cat = $pdo->prepare($query);
$cat->execute(['catalog_id' => 1]);

В такой тип запроса вы SQL-инъекцию не вставите. В принципе проблема SQL-инъекций решается такими запросами как класс - используйте и можете не знать об них ничего (только не вставляйте параметры интерполяцией в строку).

Иначе в запрос вида

SELECT name FROM users WHERE id = $id

Можно вставить $id вида

$id = '0 UNION SELECT password WHERE id = 432'; 

В результате сформируется запрос

SELECT name FROM users WHERE id = 0
UNION
SELECT password WHERE id = 432   

Который вместо имени пользователя выведет пароль пользователя с идентификатором 432. Это не единственный тип SQL-инъекции, но повторю проблема решается как класс путем использованием prepare-запросов. Т.е. в этом случае не нужно даже экранировать и как-то специально обрабатывать данные - расширение само об этом позаботится.

Обратные кавычки ` характерны в основном для SQL-диалекта MySQL, они обрамляют названия таблицы и столбцов, чтобы оптимизатор не запутался, если название столбца или поля совпадает с ключевым словом - с ними почти невозможно ничего сделать. По крайней мере SQL-инъекции с их участием не известны - можно их специально не экранировать - от этого только проблемы при редактировании, когда у вас они по несколько раз могут эскейпится. Опасности от них, по крайней мере для базы данных, нет никакой.

Точно также относительно % и _ в текстовых полях они совершенно безопасны. Это шаблоны поиска LIKE и находятся они не со стороны шаблона, а в тексте.