Formularz z wyszukiwanie wydarzen

0

Witam.

Mam formularz do wyszukiwania wydarzen po nazwie. Problem jest ze znakami specjalnymi tj " czy ' i cala masa innych. User jak zapisuje nowe wydarzenie moze wpisac w tytul co chce. Nastepnie moze wyszukac wydarzenie po tytule. Jednakze jak wpisze np cudzyslow to na chwile obecne appka nic nie znajduje, poniewaz filtruje string i wyrzuca wszystkie znaki specjalne. Czy uzywajac PDO jest w ogole bezpieczne wrzucenie wszystkiego z formularza do zapytania SELECT. Troche nie dokonca wierze, ze PDO uchroni mnie przed kazdym atakiem SQL injections itd. Ale inaczej user nie zrobi poprawnego wyszukiwania.

4

Zasadniczo jak skorzystasz z PDO oraz prepared statements to nie ma żadnego znaczenia co ktoś wpisze w treści tekstu, bo nie jest to (w dużym uproszczeniu) przesyłane do bazy jako string, który można oszukać poprzez wstawienie jakichś znaków, ale jako parametry funkcji.

Do poczytania:
https://4programmers.net/PHP/Ochrona_przed_SQL_Injection_-_podstawy
https://mansfeld.pl/bezpieczenstwo/sql-injection-zabezpieczenie-php-mysql/
https://stackoverflow.com/questions/60174/how-can-i-prevent-sql-injection-in-php/60496#60496
http://blog.rpodwika.pl/jak-zapobiec-sql-injection-w-php/
https://prophp.pl/advice/show/25/jak_zabezpieczyc_sie_przed_atakiem_sql_injection%3F
https://lukasz-socha.pl/php/niebezpieczny-kod-sql-injection/

Zarejestruj się i dołącz do największej społeczności programistów w Polsce.

Otrzymaj wsparcie, dziel się wiedzą i rozwijaj swoje umiejętności z najlepszymi.

Utwórz konto