SQL Injection

Dobrý den,
Rád bych se zeptal, jeli na WZ nějakým způsobem řešena obrana před SQL Injection (escapování spec. znaků apod)
Děkuji s pozdravem O. Kolín

SQL injection musí být součástí zabezpečení aplikace (v tomto případě tvých PHP skriptů). Nikoli serverové programové výbavy. Ostatně jinak by byl jazyk SQL úplně nepoužitelný ;)

Escapování speciálních znaků je zbytečné, stačí použít parametrizované dotazy.

Zrovna dnes jsem tuhle přiblblou ochranu nazvanou magic_quotes_gpc odstranil ze svého serveru (nechápu, proč to bylo default zapnuté), protože mi dělala zbytečné komplikace a nijak nezvyšovala bezpečnost mé aplikace.

V PHP 5.4 už tato "ochrana" vůbec není. Je nutné psát své aplikace bezpečně.

Kit: Myslím, že už od 5.3, nebo dokonce od 5.2, je toto nastavení defaultně vypnuto. Ale stále přístupné.
Ale máš pravdu. magic_quotes_gpc je v dnešní době zlo, který dělá jen problémy.

Problémy... Dá se to jednoduše a přenositelně odstranit třeba takto:

$param=get_magic_quotes_gpc()?stripslashes($_GET['param']):$_GET['param'];

Možná k tomu v PHP 5.4 přibude ještě test, zda funkce get_magic_quotes_gpc existuje... Uklidňuje mě však hláška

PHP 5.4.0 Always returns FALSE because the magic quotes feature was removed from PHP.

Problémy jsem myslel v tom smyslu, že buď to nemáš ošetřené nebo naopak ošetřené máš. Prostě se tím musíš zabývat.