Homepage Sicher? .PHP ( Metin2 Homepage )

[.SkyneT.]

Grundsätzlich ist MySQLi sicher. PDO ist auch in Ordnung und bietet den Vorteil gleich ein paar Datenbanken mehr zu unterstützen ().

Sei "einfach" nur vorsichtig mit jeglichem User Input (immer escapen) und überleg dir, was du machen könntest, falls doch einmal etwas schief geht (z.B. Regelmäßige Backups auf einem anderen Server).

[xsrf]

Hier ist zumindest SQL Injection gesichert.

PHP Code:

<?php 

class DB
{
    private $sql;
    private $result;
    private $exec;
    
    function __construct( $database = null )
    {
        $this->sql = [MENTION=351728]new[/MENTION] MySQLi( DB_HOST, DB_USER, DB_PASS, $database == null ? DB_BASE : $database );
        $this->sql->autocommit( false );
        if( $this->sql->connect_errno )
        {
            //change
            die( "Unable to connect with the database. Error: " . $this->sql->connect_errno .  " - " .   $this->sql->connect_error);
        }
    }
    
    public function Escape( $post )
    {
        foreach($post as $key => $value)
        {
            $value = htmlspecialchars( $value );
            $value = htmlentities( $value );
            $value = strip_tags( $value );
            $value = $this->sql->escape_string( $value );
        }
        return $post;
    }
    
    public function Send ( $qry )
    {
        $this->result = self::Exec( $qry );
        if( $this->sql->errno )
        {
            die( "Error: " . $this->sql->errno .  " - " .   $this->sql->error);
        }
        return self::Result();
    }
    
    public function Send2 ( $qry )
    {
        $this->result = self::Exec( $qry );
    }
    
    public function Commit()
    {
        if( $this->sql->errno )
        {
            $this->sql->rollback();
            die( "Error: " . $this->sql->errno .  " - " .   $this->sql->error);
        }
        $this->sql->commit();
    }
    
    private function Exec( $qry )
    {
        $exec = @$this->sql->query( $qry );
        return $exec;
    }
    
    private function Result()
    {
        if( $this->result != "1" )
        {
            $arr = array();
            if (!function_exists('mysqli_fetch_all')){
                $arr['obj'] = [];
                while ($row = $this->result->fetch_assoc()) {
                    $arr['obj'][] = $row;
                }
            }else {
                $arr['obj'] = $this->result->fetch_all(MYSQLI_ASSOC);
            }
            $arr['rows'] = $this->result->num_rows;
            return $arr;
        }
        else 
        {
            return 3;
        }
    }
    
}

[debug​]

1. niemals @ nutzen
2. @ das ist nicht wirklich ein schönes oop modell
3. wozu das ganze escape wenn es prepared statements gibt?

[xsrf]

Mag sein, dennoch sicher, war auch mehr zusammen gewürfelt.

@ wird genutzt um Fehler zu unterdrücken also warum nicht?

Naja um eben nicht dauerhaft die gesamten Calls zu machen.

[#Metho]

Quote:

Originally Posted by xsrf

Mag sein, dennoch sicher, war auch mehr zusammen gewürfelt.

@ wird genutzt um Fehler zu unterdrücken also warum nicht?

Naja um eben nicht dauerhaft die gesamten Calls zu machen.

Es bringt dir aber keinen Vorteil aus bereits kompletten Klassen weiter Abstrakten etc. zu erstellen; zumal der Ersteller nicht einmal Basiskenntnisse besitzt. Und dann adaptierst du noch Dinge wie htmlspecialchars etc., welche man eigentlich nur zur Ausgabe nutzt.

[KingDingD0ng]

Quote:

Originally Posted by debug​

3. wozu das ganze escape wenn es prepared statements gibt?

^this

ist wärmstens zu empfehlen

Prepared Statements sind eigentlich der Standard und was anderes sollte meine Meinung nach auch garnicht/kaum genutzt werden.

Schau dir die Seite mal an. Dort ist alles nennenswertes von Conventions, über DesignPattern und vieles weiteres erläutert. Und das sogar in Englisch

Greetz