3.1 Экранирование спецсимволов

Прежде чем передавать значения переменных формы в SQL-запросы, необходимо специальным образом экранировать в них некоторые символы (в частности, апостроф), например, поставить перед ними обратный слэш. Для вставки предназначена функция:

mysql_escape_string()

string mysql_escape_string(string $str)

Функция похожа на другую функцию addslashes(), однако она добавляет слэши перед более полным набором специальных символов. Практика показывает, что для текстовых данных можно применять и функцию addslashes() вместо mysql_escape_string(). Во многих скриптах так и делается.

По стандарту MySQL экранированию подвергаются символы, которые в РНР записываются так: "\х00", "\n", "\г", "\\", """, "" и "\х1А".

В это число входит символ с нулевым ASCII-кодом, а поэтому mysql_escape_string() допустимо применять не только для текстовых, но также и для бинарных данных. Можно, например, считать в переменную GIF-изображение (функция file_get_contents ()), а затем вставить его в базу данных, предварительно проэкранировав все спецсимволы. При извлечении картинка окажется в том же виде, в котором она была изначально.

Экранирование символов это лишь способ записи корректных SQL-выражений, не более того. С данными ничего не происходит, и они хранятся в базе без дополнительных слэшей - так, как выглядели изначально, еще до экранирования.

С использованием mysql_escape_string()код предыдущего запроса выглядит так:

"DELETE FROM table WHERE name="".mysql_escape_string($name).""");

Это длинно, неуклюже и некрасиво.

3.2 Шаблоны запросов и placeholders

Рассмотрим другое решение.

Вместо явного экранирования и вставки переменных в запрос на их место помещают специальные маркеры (placeholders, "хранители места"), обычно выглядящие как?.

Те же значения, которые будут подставлены вместо них, передаются отдельно, дополнительными параметрами.

С использованием гипотетической функции mysql_qwo, код которой будет представлен ниже, предыдущий запрос может быть переписан так:

mysql_qw ("DELETE FROM table WHERE name=?", $name);

Запрос стал короче и лучше защищен: теперь мы уже при написании кода не сможем случайно пропустить вызов функции mysql_escape_string() и, таким образом, попасться на уловку хакера. Все преобразования происходят автоматически, внутри функции.

В листинге lib_mysql_qw.php содержится простейшая реализация функции mysql_qw() (qw - от англ. query wrapper, "обертка для запроса").

Имеется также библиотека lib/Placeholder.php, обеспечивающая значительно более мощную поддержку языка placeholders: http://dklab.ru/chicken/30.html.

В большинстве ситуаций возможностей, предоставляемых функцией mysql_qw (), оказывается достаточно.

Листинг lib_mysql_qw.php

// result-set, mysql_qw ($connection_id, $query, $argl, $arg2 ...).

// result-set mysql_qw($query, $argl, $arg2, ...)

// Функция выполняет запрос к MySQL через соединение, заданное как

// $connection_id (если не указано, то через последнее открытое).

// Параметр $query может содержать подстановочные знаки?,

// вместо которых будут подставлены соответствующие значения

// аргументов $arg1, $arg2 и т. д. (по порядку), экранированные и

// заключенные в апострофы.

function mysql_qw()

// Получаем все аргументы функции.

$args = func_get_args();

// Если первый параметр имеет тип "ресурс", то это ID-соединения.

// Формируем запрос по шаблону.

// Вызываем SQL-функцию.

// string mysql_make_qw($query, $argl, $arg2,...)

// Данная функция формирует SQL-запрос по шаблону $query,

function mysql_make_qw()

$args = func_get_args();

// После этого $args также окажется измененным.

// Теперь экранируем все аргументы, кроме первого.

foreach ($args as $i=>$v)

if (!$i) continue; // это шаблон

if (is_int($v)) continue; // целые числа не нужно экранировать

//На всякий случай заполняем 20 последних аргументов недопустимыми

// значениями, чтобы в случае, если число "?" превышает количество

// параметров, выдавалась ошибка SQL-запроса (поможет при отладке).

for ($i=$c=count($args)-1; $i<$c+20; $i++)

// Формируем SQL-запрос.

Если убрать поясняющие записи, то размер файла lib_mysql_qw.php уменьшится почти в три раза:

function mysql_qw()

$args = func_get_args();

if (is_resource($args)) $conn = array_shift($args);

$query = call_user_func_array("mysql_make_qw", $args);

return $conn!==null ? mysql_query($query, $conn): mysql_query($query);

function mysql_make_qw()

$args = func_get_args();

$tmp1 - str_replace("%", "%%", $tmp1);

$tmp1 = str_replace("?", "%s", $tmp1);

foreach ($args as $i=>$v)

if (!$i) continue;

if (is_int($v)) continue;

$args[$i] = """.mysql_escape_string($v).""";

for ($i=$c=count($args)-1; $i<$c+20; $i++)

$args[$i+1] = "UNKNOWN_PLACEHOLDER_$i";

return call_user_func_array("sprintf", $args);

Функция sprintf() воспринимает символ % как управляющий. Чтобы отменить его специальное действие, необходимо его удвоить, что и делается в функции. Затем? заменяется на %s, для sprintf() это означает "взять очередной строковый аргумент".

Для удобства тестирования этого кода главная функция разбита на две, выделен код замены подстановочных знаков в функцию mysql_make_qw().

В листинге test_qw.php приведен пример того, как будут выглядеть SQL-запросы после подстановки placeholders.

Листинг test_qw.php

require_once "lib_mysql_qw.php";

require_once "mysql_connect.php";

// Представим, что мы - хакеры...

$name = "" OR "1";

// Допустимый запрос.

echo mysql_make_qw("DELETE FROM people WHERE name=?", $name)."
";

// Недопустимый запрос.

echo mysql_make_qw("DELETE FROM people WHERE name=? OR ?", $name)."
";

// Вот как выглядит выполнение запроса.

mysql_qw("DELETE FROM people WHERE name=? OR ?", $name)

or die(mysql_error());

В результате работы скрипта будет сгенерирована следующая страница:

DELETE FROM people WHERE name="\" OR \"1"

DELETE FROM people WHERE name=" \ " OR \ " 1" OR id=UNKNOWN_PLACEHOLDER_l

Unknown column "UNKNOWN_PLACEHOLDER_1" in "where clause1

Перед апострофами в данных появились слэши, a placeholder, которому "не хватило" аргументов функции, оказался замененным на строчку UNKNOWN_PLACEHOLDER_l.

Теперь любая попытка выполнения такого запроса заранее обречена на неудачу (о чем говорит последнее диагностическое сообщение, сгенерированное вызовом die()), что является важным подспорьем при отладке сценариев.

Apache на русском языке: Если открылась начальная страница, значит Apache установлен правильно. ● Перейдите в окно Web-сервера Apache с помощью Панели задач операционной системы Windows и завершите работу сервера с помощью кнопки [X] в правом верхнем углу окна. 1.3. Установка PHP Загрузить дистрибутивов PHP можно с официальной страницы http://www.php.net/downloads.php из секции Windows ...

От необходимости самим создавать соответствующие программы. Присутствует в ASP и PHP, отсутствует в XML. Создание серверных сценариев. Основа любого языка для создания динамических сайтов. Присутствует в ASP и PHP, отсутствует в XML. Описание данных. Важная функция, позволяющая представлять данные в едином формате, единым способом записи. Отсутствует в ASP и PHP, присутствует в XML. Наличие...

И программных решений, на которых основаны. Серверы размещаются в так называемых серверных комнатах. Управление серверами осуществляют системные администраторы. 2. Базы данных 2.1 Понятие базы данных (БД) Основы современной информационной технологии составляют базы данных (БД) и системы управления базами данных (СУБД), роль которых как единого средства хранения, обработки и доступа к...

Поставленной задачи показала правильность выбранного подхода. Тем не менее, работа требует дальнейше доработаки для организации постоянного доступа читателей к библиографическим ресурсам библиотекам города через Интернет. Литература 1. Глушаков С.В., Ломотьков Д.В. Базы данных: Учебный курс. – К.: Абрис, 2000. -504с. 2. Джейсон Мейнджер. Java: основы программирования:Пер...

Чтобы понять, когда и что избегать без попыток, необходимо точно понимать цепочку контекстов, через которые проходит строка. Вы будете указывать строку от самой дальней стороны до ее конечного пункта назначения, которая является памятью, обработанной кодом синтаксического анализа регулярного выражения.

Помните, как обрабатывается строка в памяти: если это может быть простая строка внутри кода или строка, введенная в командную строку, но может быть либо интерактивной командной строкой, либо командной строкой, указанной в файле сценария оболочки, или внутри переменной в памяти, упомянутой кодом, или (строковым) аргументом при дальнейшей оценке, или строкой, содержащей код, сгенерированный динамически с любой инкапсуляцией...

Каждому из этого контекста назначено несколько символов со специальным функционалом.

Если вы хотите передать символ буквально, не используя его специальную функцию (локальную для контекста), то в этом случае вы должны экранировать его для следующего контекста... который может нуждаться в некоторых других escape-символах, которые могут потребоваться дополнительно сбежал в предыдущем контексте (ах). Кроме того, могут быть такие вещи, как кодировка символов (наиболее коварным является utf-8, потому что он выглядит как ASCII для общих символов, но может дополнительно интерпретироваться даже терминалом в зависимости от его настроек, поэтому он может вести себя по-другому, чем атрибут кодирования HTML/XML, это необходимо для правильного понимания процесса.

Например, регулярное выражение в командной строке, начинающееся с perl -npe , должно быть передано в набор системных вызовов exec, соединяющихся как канал, который обрабатывает файл, каждый из этих системных вызовов exec просто имеет список аргументов, которые были разделены (не экранированные) пробелы и, возможно, каналы (|) и перенаправление (> N> N> & M), скобки, интерактивное расширение * и? , $(()) ... (все это специальные символы, используемые * sh, которые могут показаться мешающими символу регулярного выражения в следующем контексте, но они оцениваются по порядку: перед командной строкой. командная строка читается программой как bash/sh/csh/tcsh/zsh, по существу внутри двойной кавычки или одинарной кавычки, экранирование проще, но нет необходимости заключать в кавычки строку в командной строке, потому что в основном пробел должен начинаться с префикса с обратной косой чертой и кавычкой нет необходимости, оставляя доступной функциональность раскрытия для символов * и?, но это анализирует такой же контекст, как и в кавычке. Затем при оценке командной строки регулярное выражение, полученное в памяти (не так, как записано в командной строке) получает ту же обработку, что и в исходном файле. Для регулярного выражения в квадратных скобках есть контекст набора символов , регулярное выражение perl может быть заключено в большой набор не альфа-числовых символов (например, m//или m:/лучше/для/путь:...).

У вас есть больше деталей о символах в другом ответе, которые очень специфичны для конечного контекста регулярного выражения. Как я уже отмечал, вы упоминаете, что вы обнаруживаете, что regexp сбрасывается с попытками, что, вероятно, из-за того, что другой контекст имеет другой набор символов, который запутал вашу память о попытках (часто обратный слеш - это символ, используемый в этом другом контексте для экранирования литерального символа вместо его функции.).

От автора: приветствую вас, друзья. В этой статье мы поговорим об экранировании спецсимволов в регулярных выражениях. Под спецсимволами, конечно же, имеются в виду метасимволы в регулярных выражениях. Начнем?

Итак, как мы уже знаем из предыдущих статей, в регулярных выражениях есть множество всевозможных метасимволов, благодаря которым и достигается вся мощь регулярных выражений. Например, один из наиболее часто используемых метасимволов — это точка. Точка в стандартном режиме шаблона совпадает с любым символом, кроме перевода строки.

Это замечательно, но если нам необходимо найти в строке именно точку, тогда использование метасимвола даст нам совсем не тот результат.

Вместо пары точек в строке мы получили всю строку целиком. Чтобы решить проблему, достаточно указать в регулярке, что точка не должна быть спецсимволом, т.е. чтобы она совпадали только сама с собой. Делается это с помощью другого метасимвола, он должен быть вам знаком, это обратный слэш — \.

Собственно, этот спецсимвол используется в качестве символа экранирования не только в регулярных выражениях, но в других языках программирования. Итак, попробуем поставить перед точкой обратный слэш.

Вот теперь все работает, как нам и нужно. Точно таким же способом мы должны экранировать любые другие метасимволы при необходимости, если хотим, чтобы они воспринимались в качестве обычных символов и совпадали только сами с собой.

Ну а на этом у меня сегодня все. Больше о регулярных выражениях вы можете узнать из нашего курса по регулярным выражениям. Удачи!

В справочнике по регулярным выражениям, есть такой раздел, который называется " Мета-символы (экранируются) ". Вот именно об этих мета символах (их ещё называют и специальные символы) и будем говорить в этой статье.

Специальные символы - это те символы, которые не являются буквами или цифрами. То есть это все символы, кроме букв и цифр.

Специальными символами считаются такие символы как точка, звёздочка, плюс, знак вопроса, решётка и другие.

Как мы знаем из предыдущих статей, некоторые специальные символы имеют особенную роль в регулярных выражениях. То есть каждый специальный символ, имеет какое-то представление.

Например, точка означает абсолютно любой символ. Звёздочка является квантором повторений от нуля до бесконечности. Плюс также является квантором повторений от одного до бесконечности. Мнимый символ ^ означает начало строки, а знак доллара ($) конец строки. Кстати символ доллара тоже является мнимым символом. Ещё мы знаем, что символ ^ имеет и другую роль, если мы поставим его внутри квадратных скобок. Обо всех этих значениях мы поговорили в предыдущих статьях.

В этой статьи я отвечу на вопрос " Как использовать специальные символы в регулярном выражении ".

Для того чтобы отменить эту особенную роль, у специального символа в регулярном выражении, необходимо его экранировать . Таким образом, этот специальный символ, будет представлять именно того символа, который есть. То есть экранированная точка означает именно точка, а не любой символ. Экранированная звёздочка, означает именно звёздочка, а не квантификатор повторений.

Экранирование делается с помощью обратного слеша. То есть для того чтобы экранировать какой-то специальный символ, необходимо поставить перед ним, обратный слеш.

Допустим у нас есть такая задача " Проверить, поставлена ли точка в конец строки ". Так вот для того чтобы эта точка в регулярном выражении, являлась именно точкой, а не любым другим символом, необходимо её экранировать.

Var str = "Он является героем."; var reg = /.*\.$/; alert(reg.test(str));// true

Как мы видим, результатом проверки строки на соответствие регулярного выражения является true. Если мы уберём точку с конца строки, то результатом будет уже false.

Аналогичным образом, экранируются и другие специальные символы.

Var str = "x+y=.n*m=/,co\\la"; var reg = /x\+y=\.n\*m=\/,co\\\la/; alert(reg.test(str));// true

Здесь мы произвели экранирование символов плюс (\+), точки (\.), звёздочки (\*), обычного слеша (\/) и обратного слеша (\\\). Обратите внимание что, обратный слеш в строке пишется двумя обратными слешами. И экранируется он в регулярном выражении, также с помощью двух обратных слешей.

Если мы с помощью alert, выведем строку из переменной str, то вместо двух обратных слешей увидим только один.

Аналогичным образом экранируются все те символы, которые указаны в справочнике, в разделе мета-символы.

И на этом, пожалуй, все. Из этой маленькой статьи, Вы уже знаете как экранировать специальные символы и как их использовать в составление регулярных выражений.

Задачи

1. Допустим, нам нужно проверить на соответствие, такую строку " Я выиграл 400$ ". Напишите регулярное выражение, которая проверяло бы наличие символа доллара в конце строки. Проверьте строку на соответствие.

Заметка: активирована адаптивная версия сайта, которая автоматически подстраивается под небольшой размер Вашего браузера и скрывает некоторые детали сайта для удобства чтения. Приятного просмотра!

Рад снова приветствовать всех на страницах блога посвящённому всем тонкостям успешного создания и продвижения сайтов – Site on! В сегодняшнем уроке по PHP мы затронем такие темы как: типы переменных, экранирование, спецсимволы, а также синтаксис heredoc в PHP.

Типы переменных

PHP имеет восемь различных типов переменных, из них

4 скалярных типа:

• boolean (Булев или логический тип)
• integer (Целые числа)
• float (Число с плавающей точкой)
• string (Строка)

2 смешанных типа:

• array (Массив)
• object (Объект)

2 специальных типа:

• resource

Прежде чем перейти к рассмотрению каждого из типов более подробно, стоит уточнить, что PHP НЕ строго типизированный язык, а язык с динамической типизацией. Это значит, что нам не нужно заранее (при создании) объявлять тип каждой переменной. PHP сам догадается, какой тип имеет та или иная переменная, исходя из того, что мы в эту переменную положим. Это также значит, что в отличие от языков со строгой типизаций мы можем в переменную с числом (integer) взять и положить строку (string) и это не будет ошибкой! Это одна из особенностей PHP, которая очень нравится людям (новичкам), ранее не имевшим дело с программированием. Как правило, в итоге все приходят к тому, что это минус языка, а не плюс.

Boolean (логический) – простейший тип. Может принимать всего 2 значения: true или false (верно или неверно), они регистра-независимы (можно писать TRUE, trUe и тд.). Наглядный пример:

echo $name, "
", $name2; ?>

Результат:

Как видите, браузер не понимает булев тип, в отличие от PHP, поэтому при попытке вывести true или false он выведет на страницу число 1 или пустую строку .

При преобразовании в логический тип следующие значения рассматриваются как FALSE:

• целое 0 (ноль)
• число с плавающей точкой 0.0 (ноль)
• пустая строка и строка "0" или "0"
• пустой массив
• специальный тип NULL (включая неустановленные переменные)

Все остальные значения рассматриваются как TRUE.

// десятичное число $int = -5; // отрицательное число $int = 05; // восьмеричное число $int = 0x1A; // шестнадцатеричное число
//Числа с плавающей точкой (вещественные): $flt = 1.4; $flt = 1.2e3; $flt = 7E-10; ?>

Однако самым часто применяемым типом в PHP можно считать именно строки (string) . Строки можно записывать либо в одинарных, либо в двойных кавычках, но записывать строки в двойных кавычках я никогда и никому не советую, так как тем самым вы заставляете интерпретатор PHP «парсить» вашу строку на наличие переменных в ней, чем хоть и незначительно, но замедляете работу. Даже если вы хотите использовать в вашей строке переменные – это можно сделать с помощью одинарных кавычек + (склеивание двух и более строк в одну). Для чего тогда двойные кавычки вообще нужны? Например, когда мы хотим использовать спецсимволы (\n, \r и тд.), но о них немного позже.

Также стоит отметить, что использование одинарных кавычек + конкатенации делает код гораздо читабельней, чем если всё без разбора засовывать в двойные кавычки. Но хватит предисловий, сейчас вы сами всё увидите и поймёте:

$number = 2; //integer $hand1 = "Количество рук у человека:"; //string + заставляем парсить на наличие переменных $hand2 = "Количество рук у человека:"; //string
//добавим в эти строки переменную $number: $hand1 = "Количество рук у человека: $number и ещё текст..."; // НЕ рекомендую $hand2 = "Количество рук у человека: " . $number . " и ещё текст..."; // рекомендую!
echo $hand1, "
", $hand2; ?>

Результат:

Подробнее о конкатенации мы поговорим в следующей статье.

• ей была присвоена константа NULL .
• ей еще не было присвоено какое-либо значение.
• она была удалена с помощью unset()

Изучение оставшихся типов переменных на данном этапе было бы бессмысленным. С остальными типами мы столкнёмся и разберём их при более глубоком изучении PHP.

Экранирование в PHP

А что если мы в нашей строке не хотим доставать значение переменной, а хотим написать буквально $number? Рассмотрим два варианта:

$hand1 = "Количество рук у человека: \$number и ещё текст..."; // НЕ рекомендую $hand2 = "Количество рук у человека: $number и ещё текст..."; // рекомендую!
echo $hand1, "
", $hand2; ?>

Результат:

В первом варианте (с двойными кавычками) мы использовали экранирование спецсимвола доллара, благодаря чему данный спецсимвол перестал иметь своё специальное назначение (обозначение переменных) и превратился в обыкновенный знак доллара.

Во втором варианте (с одинарными кавычками) как вы уже знаете – PHP интерпретатор даже не пытался найти переменных в строке, а потому экранирование не потребовалось.

Спецсимволы в PHP

Специально для читателей блога Site on! я подготовил небольшой список специальных символов в языке программирования PHP:

• \n новая строка
• \r возврат каретки
• \t горизонтальная табуляция
• \\ обратная косая черта (обратный слеш)
• \$ знак доллара
• \" двойная кавычка

Посмотрим на работу спецсимволов на примере \n – спецсимвол, который делает перевод на новую строку (как Энтер), однако браузеры не понимают (и не должны) его и игнорируют, но результат его работы можно посмотреть в исходном коде страницы:

echo $rule, "
", $rule2; ?>

Результат:

Исходный код (Ctrl + U):

Если для посетителей в браузере спецсимвол \n никак не отображается, тогда в чём его смысл?

Во-первых, с помощью спецсимволов и \n в частности можно удобно форматировать код на странице (как в примере выше).

Во-вторых, \n можно использовать, например, при операциях записи в файл, чтобы сделать перенос (Энтер) и продолжить запись на новой строке.

Альтернативой такого форматирования является .

Синтаксис heredoc в PHP

Результат:

Исходный код (Ctrl + U):

Результат говорит сам за себя, теперь давайте разберемся, как же всё устроено:

• Строка начинается с трёх угловых скобочек <<<, далее следует имя идентификатора.
• Строка с открывающим идентификатором (меткой) ни в коем случае не должна содержать после него никаких других символов, включая пробел. То есть другими словами, сразу после нашей метки мы должны поставить Энтер, без пробела, сразу Энтер!