ОГЛАВЛЕНИЕ

Обработка данных при работе с БД (защита от sql-инъекций)


При работе с базой данных (БД) следует обратить внимание на безопасность извлечения данных и на добавление данных в БД.

Для того чтобы не пришлось удалять слеши при извлечении данных из БД, директива magic_quotes_runtime отключается при загрузке системы в файле index.php.

Для защиты от sql-инъекций при добавлении данных PHP-платформа Wad-er использует встроенные средства ADODB. Это методы escape(), qstr(), quote(). Получить доступ к ним можно через объект парсера (класс PageParser), например:

$parser->conn->escape($str);
$parser->conn->qstr($str);
$parser->conn->quote($str);

Пример запроса с экранированием:

$id = $parser->utils->getFieldFromSql("SELECT objid FROM sys_objects
                                                 WHERE (objtype='sys_elements_pages')
                                                 AND (objid='".($parser->conn->escape($idd))."')


Copyright ©2010-2014 by Xicom Ltd, All Rights Reserved

Fatal error: Call to a member function gs() on a non-object in /var/www/html/main/classes/utils.class.php on line 562