sql иньекция как исправить?

Question

if($user['cat'] == 0){      
  // Проверяем наличие категории
  $mesto_cat = DB::$the->query("SELECT mesto FROM `sel_category` WHERE `mesto` = '".$message."' ");
  $mesto_cat = $mesto_cat->fetchAll();

  if (count($mesto_cat) != 0) 
    {
      $chat = escapeshellarg($chat);    
      $message = escapeshellarg($message);  
      exec('bash -c "exec nohup setsid php ./select_cat.php '.$chat.' '.$message.' > /dev/null 2>&1 &"');
      exit;
    }
}

Скажите пожалуйста как иправить sql иньекцию, если $message будет "qwe'; DROP TABLE sel_category; --"

использовать PDO/mysqli и подготовленные выражения...... всё...... ну и ознакомиться с парой исключений в теме http://ru.stackoverflow.com/q/637185/191482 — Алексей Шиманский, Mar 20 '17 at 20:20

score 1 · Answer 1 · answered Mar 21 '17 at 18:43

Ни в коем случае нельзя создавать запрос из переменной, введенной пользователем. Можно использовать плейсхолдеры, можно подготовленные выражения.

НО! Не надо давать широкие возможности ввода. Если позволено вводить число - парсите ввод на число. Если имя - проверяйте на "лишние" символы. Не подставляйте ввод без обработки!!!

score 1 · Accepted Answer · answered Mar 21 '17 at 19:02

Судя по query/fetchAll - DB::$the у вас PDO либо прокси к нему.

Используйте его prepared statements

$mesto_cat = DB::$the->prepare("SELECT mesto FROM `sel_category` WHERE `mesto` = ?");
$mesto_cat->execute([$message]);
$mesto_cat = $mesto_cat->fetchAll();

sql иньекция как исправить?

2 Answers2