Bezpečný výběr z DB – PHP – Fórum – Programujte.com

Zdravím. Až doteď jsem z databáze tahal data většinou na základě nějakého číselného ID, které jsem intvalem vyparsoval z URL a probíhala kontrola, zda je výsledná proměnná nenulové číslo, poté se tahalo z DB, takže kontrola, zda mi někdo nepodstrčil nějaký nepěkný string byla celkem v pohodě.

V dalším projektu bych se ale chtěl vyvarovat IDčkám v URL a data tahat podle stringu (URL je třeba www.neco.cz/sekce/nejake-url/), kde podle textu "nejake-url" bych chtěl vyhledat položku v DB.

Otázka je, jak správně ošetřit vy$_GET[]ovaná data, aby bylo riziko napadnutí databáze co nejmenší. Díky za rady. A pokud se to již řešilo, tak mě klidně odkažte na příslušné téma.

http://php.net/manual/en/function.mysql-real-escape-string.php to by melo stacit

ja to riesim, pokial viem asi aky bude vstup, pomocou RE... istota je gulomet... potom samozrejme to co spomenul KIIV

edit:
predpoklad ze v adrese nebudes pouzivat nic nestandardne...

if (preg_match("/^[\-a-z0-9_]{2,50}$/",$premenna_s_adresy)) 

A když podle tohoto stringu budu vybírat data z DB, mám nad sloupcem, ze kterého se vybírá, vytvořit nějaký index? Já se popravdě v indexech a přidružených věcech trochu ztrácím, moje dosavadní technika spočívala v "šoupnout primary index na soupec s ID a dál to neřešit"

pokud hledas presnej retezec tak urcite index.. pokud hledas podretezec tak ti index nepomuze.. tak jak tak to pojede pekne jedno po druhem

při vkládání: MySQL_Real_Escape_String($something)
při výběru: StripSlashes($zaznam['something'])

jejdamane, proč odstranujes lomitka pri vypisu, tam by mělo byt spis htmlspecialchars

To CZechBoY : to co robis pri vybere je chyba najhrubsieho zrna... ak uz chces stripnut lomitka, tak zmen vsetko nebezpecne napr. na entity... resp. cekni reakciu hrach-a

Kobi napsal:
Otázka je, jak správně ošetřit vy$_GET[]ovaná data, aby bylo riziko napadnutí databáze co nejmenší. Díky za rady. A pokud se to již řešilo, tak mě klidně odkažte na příslušné téma.