0

Подскажите пожалуйста, как можно обезопасить свой сайт и делать безопасную вставку данных в базу данных MySQL. К примеру: у меня есть на сайте поле оставления комментария под постом. Кто то оставил коммент и мне нужно поместить данные в таблицу.У меня есть форма такого вида: 

<form method="POST">
  <input placeholder="Name" name="name" class="name" type="text" required><br>
  <input placeholder="Email" name="email" class="email" type="email" required><br>
  <textarea placeholder="Message" name="message" class="text" required></textarea><br>
  <button type="submit" name="do_comment" class="submit">Submit</button>
</form>

Я формирую запрос с помощью php: 

mysqli_query(
  $connection,
  "INSERT INTO `comments` (`author`, `email`, `text`, `articles_id`) VALUES ('".$_POST['name']."', '".$_POST['email']."' , '".$_POST['message']."', '".$article['id']."') "
);

Тот же запрос SQL: 

INSERT INTO `comments` (`author`, `email`, `text`, `articles_id`)
VALUES ('Dima', 'DIma@gmail.com' , 'Hello, world', '7')

articles_id это то, к какой статье прикреплен комментарий.И вообщем-то все работает но насколько я знаю формирование запроса с конкатенацией это плохая практика. Прошу пожалуйста, объясните, как корректно формировать запросы подобного рода и вообще обезопасить свой сайт?

Anton Shchyrov
  • 33,121
Tick-Tack
  • 372
  • Чем плохо? Ну, для начала, введите name с апострофом Di'ma – Anton Shchyrov Mar 13 '18 at 22:44
  • http://php.net/manual/ru/pdo.prepared-statements.php Вот почитай – rodgers Mar 13 '18 at 22:59
  • Напишите глобальную функцию, которая будет фильтровать все $_GET и $_POST запросы при их вызове – Bykuznec Mar 14 '18 at 05:32
  • @Bykuznec, от чего конкретно вы хотите фильтровать данные? – Visman Mar 14 '18 at 05:42
  • Например от запрещенных символов или html тегов в тексте. – Bykuznec Mar 14 '18 at 15:22

0 Answers0