Есть ли каки-нибудь приемы необходимые для проверки (защиты) данных принимаемых от пользователя при работе с MySQL.
Помимо разумеется подстановки \' еще что-то есть?

к примеру можно ли так делать, если нет, то чем это черевато?

это черевато все тем-же - пользователь может управлять по своему усмотрению выводом. а если класс работы с БД позволяет выполнять пакетные обработки - то прислать тебе могут все что угодно.

как защититься от этого?

что есть управление выводом?
а при внесении данных, может он чего повредить и как уберечься?

передавать не имя таблицы, а ее идентификатор (например - число). далее в скрипте разбирать id->table_name

а к примеру при вставлении данных, что делать?

MpaK999, вопрос не понятен. смотря каких данных. общий совет - всегда проверяй то что приходит от пользователя на валидность.

к примеру есть


может ли пользователь, как либо повредить базу или еще чего, вставив к примеру в text - свой SQL запрос?

Наверное в вышеприведенном примере ничего хорошего не будет, если в $text будут мета-символы, типа апострофа. Но вот повредить ими - навряд ли что-то возможно. Если я ничего не путаю, то MySQL и вложенные запросы-то не поддерживает, поэтому в худшем случае вывалится сообщение об ошибке (или даже не вывалится).

gregzem, апострофы лечу ->quote(
ну, если так, то хорошо, а то вдруг юзер напишет в тексте text "AND …) и чего там еще...

эм .) ну напишет ? .) и что далее ?
AND что ? когда у него указано в какое поле он будет писать... and вообще к where clause применимо... .)

$text=param('text');
$result = $DB->do("INSERT INTO guestbook (text) VALUES ('$text')");

Но, пользователь может присвоить значению $text следующее - " ');
DELETE FROM `guestbook`; SELECT * FROM `guestbook` WHERE `text`=upper(' " и, в итоге получится вот такой вот запрос:
—
INSERT INTO guestbook (text) VALUES ('');
DELETE FROM `guestbook`;
SELECT * FROM `guestbook` WHERE `text`=upper('');
—

Я думаю, следует заменять ' на \' - и всё будет нормально

в моей mysql такое не проходит.

gregzem писал(а):

в моей mysql такое не проходит.

Запрос формируется через PHP или Perl - поэтому разницы думаю нет! может где то опечатка в самом запросе, но в целом технология защиты и взлома такая!

Какова у народа любовь к изобретательству оказалась
Давно ведь есть http://www.mysql.com/doc/en/mysql_real_ … tring.html и её реализация в PHP - http://ru.php.net/manual/ru/function.my … string.php

ptitov, оную и юзаю только из DBI