БлогNot. Подготовка параметров для выполнения SQL-запроса

Подготовка параметров для выполнения SQL-запроса

Кусочек кода на PHP для памяти... ещё один вариант "таблетки" от SQL-инъекций и т.п.

// функция проводит подготовку переданных параметров для 
    // выполнения sql запроса. Выполняется в целях безопасности, для 
    // предотвращения атаки типа SQL injection
function prepare_param($param)
{   return preg_replace("/[^a-zA-Z0-9 ]|insert|delete|update/i","",$param); }
// приведение переданного параметра к строго строковому типу 
// используя регулярные выражения
function mystring($st)
{ if(!preg_match("|^[^\']+$|",$st)) $st="wrong"; return $st; }
// проверка переданной строки на соответствие формату email адреса 
// используя регулярные выражения
function myemail($st)
{
$st=strtolower($st);
if(!preg_match("|^[0-9a-z_]+@[0-9a-z_^\.]+\.[a-z]{2,6}$|i",$st)) $st="wrong"; return $st; }
       // функция проводит подготовку переданных параметров для 
       // выполнения sql запроса. Выполняется в целях безопасности, для 
       // предотвращения атаки типа SQL injection. Отличается от функции
       // function prepare_param($param)
function prepare($st)
{
    $st = htmlspecialchars($st);
    $st = strip_tags($st);
    $st = mysql_real_escape_string($st);
    return $st;
}

06.10.2009, 13:51 [8916 просмотров]


теги: памятка php mysql безопасность

К этой статье пока нет комментариев, Ваш будет первым