На сервере он всегда по нулям ;)
А на девелоперской тачке по максимуму ;)

Обновил.

У меня в голове появилась кощунственная мысль засунуть кусочек кода в скрипт с библиотекой функций/классов чтобы он проводил через себя все 3 массива куков, пост и гет. С каждым элементом он производил определенные действия , а потом засовывал их обратно в массив.

Вопрос насколько это нужно и сильно ли это нагрузит все?

что-то типа foreach($_REQUEST as $key=>$value){}

Это абсолютно не нужно. Второй вопрос тебя не должен волновать.

Скрипт составить не проблема, вопрос в том, нужно ли это делать, т.е. предпочтительней "мыть" входящие данные на входе по-отдельности или все сразу. Исходя из вышестоящего поста можно стелать вывод, что путь наибольшей головной боли предпочтительней ;)

Какой нафиг головной боли? Делай, как я написал, и ее не будет совсем. Нахрен тебе портить данные?

Была бы статья о всех методах защиты....был бы большой плюс

intro

В этой небольшой статье я расскажу о защите о всем нам известной уязвимости SQL-injection. Данной уязвимости подвержено подавляющее большинство сайтов в сети. Суть уязвимости заключается в отсутствии фильтрации спецсимволов в параметрах, передаваемых в запросах к БД. Уязвимость позволяет злоумышленнику выполнять запросы к БД… Да лан, чё я рассказываю. В разделе статьи полно информации по SQL-injection и я изобретать велосипед не буду.  Ну что ж, перейдём к сути…

Метод №1 – Фильтрация

Этот метод заключается в фильтрации спецсимволов с помощью стандартной функции preg_match(). Данная функция будет обрабатывать параметры, передаваемые скрипту от пользователя, на соответствие параметрам, которые должны быть в запросе. Вот кусок уязвимого скрипта:
А вот тот же код, только с использованием функции preg_match():

Согласитесь, не сложно написать пару лишних строк в скрипт, которые смогут защитить ваш сайт от атаки.
Некоторые перци обрабатывают параметр функцией mysql_escape_ptring(), она похожа на addslashes(). Лично я такой подход не уважаю. Этот способ можно использовать лиш как способ записи корректных SQL запросов и не более того. Многие используют фцнкцию str_replace() которая вырезает все спецсимволы в параметре. Но при использование данной функции запрос всё равно будет выполнен с ложными данными, и вызовет туеву хучу ошибок.

Способ №2 – создание собственной функции обращения к БД
Согласитесь, каждый раз добавлять preg_match достаточно нудное занятие, есть способ как этого избежать. Можно написать свою функцию , которая будет отправлять запросы к БД. Вот пример от Дмитрия Котерова, библиотека содержащая в себе функцию для защиты нашего скрипта. Суть её работы в том, что она заменяет стандартную и всем нам до боли известную функцию mysql_query() своей mysql_qw(), т.е. в либе он создал функцию, заменяющую mysql_query, в которую сразу встроена проверка спецсимволов, а так же HTML-тэгов. Данный скрипт защищает как от SQL-injection, так и от XSS. Вот код библиотеки:
Используется он так
Конечно он староват, но работает до сих пор…

Способ №3 – Использование mod_rewrite

Этот способ заключается в использовании модуля Апача под названием mod_rewrite. И так, как же мы его будем использовать??? :D Все знаю как данные передаются скрипту методом GET (www.site.ru/script.php?id=1), где id содержит параметры для обращения к БД. С использование mod_rewrite можно выше приведённой ссылке придать более человеческий вид (Например: www.site.ru/script_1.html). Для этого на нужно в веб-каталоге сервера (Например: /home/site/www) создать файл .htaccess со следующим кодом:
Таким образом мы будем запускать модуль. Теперь перейдем к замене ссылок. Добавим в конец .htaccess следующую строку:
Теперь при обращении к сайту www.site.ru/script_1.html произойдёт замена на http://www.site.ru/script.php?id=1, которая в последствии будет выполнена. “А в чём же здесь защита?” спросите вы. Обратите внимание на script_([0-9]*).html, здесь у нас идёт проверка переданных скрипту параметров, т.е. как мы видим: если передаваемый параметр будет содержать кроме числовых ещё какие-нибудь символы, то запрос выполнен не будет…
Дополнительную информацию о mod_rewrite и о его использовании можно найти в документации по серверу Apache. www.apache.org

Outro
Ну вот, я кратко описал способы решения данной проблемы. Если вам есть что добавить, просьба отписать в эту тему. Всем удачи.

FraiDex

фаг.. но ведь вё равно принимает. спецсимволы она не фильтрует

На вид большая функция а =\\

1) Зачем цифры переводить через эту функцию?
Достаточно
2) Оох... где-то еще есть серваки с пхп 3 чтобы делать поверку на существование функции mysql_real_escape_string ?

3) mysql_real_escape_string не экранирует символы % и _ также как mysql_escape_string что будет багой например при %LIKE% .....
Поэтому достаточно написать свою функцию в 3 строки с реплейсом % и _ на \%, \_ ну и mysql_real_escape_string

зри в корень )

Могу скинуть свою обертку для запросов. Нужно?
На самом деле это боян, обертка типа.

А зачем число ещё и mysql_escape_string'ом обрабатывать?

Mysql_real_escape_string не спасет от слепых инекций.

А не от слепых спасает?:о

Если не трудно скинь пожалуйста :)

в топике ничего не упомянуто об:

1. реферере
2. сессии
3. прочие "особые" моменты

))

Практически никто этого не обрабатывает, если говорить про фул_паф_дискложен

Pashkela, ну я думал, что понятно, что нельзя доверять любому вводу )

Его уже не осталось, да и не нужен он - это было слабое подобие Zend_Db

Кстати,если уж дело зашло до Zend_Db, добавлю от себя отличный мануал по этой "обертке".
http://docs.huihoo.com/php/zend/ZendFramework-0.1.5/documentation/end-user/ru/zend.db.html
Читать очень легко,нет никаких супер-слов,все коды комментируються.В общем осваивайте,я сам остановился именно на Zend_Db.

Чем же мануал по 0.1.5 версии актуальнее актуального 1.9.x на оффсайте?)))

Тем,что он короче,и понятнее)
Хотя,кому как,лично мне в свое время было проще прочитать тот ман,чем офф :) Ибо много еще не понимал

Статья про анти sql-inj, а ачат - анти хак сайт,

а и ещё осталось не писать сплоиты, а исправлять баги веб приложений

Вообщето ачат это сайт по аудиту безопасности.
Так что всё верно...

Ничего не сказано про prepared statement'ы. Именно из-за их использования ORM движки обладают побочным эффектом защиты от sql-inj.

Ну это личные внутренности ОРМ, он может и по типу эскейпить просто. ;)
НО про них надо в другом месте сказать, обновлю )

Уже на многих ру хостах юнион селект рубают , надежда ток на кавычку и знание движка(((

Не верю. Если и есть такие, то это единичные случаи за "2 бакса в год", т.к. юнион селект полезен и юзается активно.

что думаете про такой подход?
взято с http://phpmaster.su/php-faq/8-kak-zashhititsya-ot-sql-inekcij-xss-atak-na-php.html
много чего можно добавить к этому коду, но сам подход..?

phpdreamer, провальный подход. Первый пост читай, там ВСЁ описано.

..с новым подходом....
Ты так никогда не защитишься. при SQL проскочит любой твой отфильтрованный контент в разном регистре UnIoN и т.д... буква i вообще может в переменной оказаться по делу, а фильтранётся =))) ну и про HEX, URL и другие виды кодировки не забывай =)))
А в первом посте всё изложенно.

спасибо, теперь разобрался

Не соглашусь, сейчас пробывал в опере 10 набрать в get параметре это => "SeLEcT" (без ковычек), итог => не проскочило слово

Вообще да, плохая защита

Это ппц.
Засунуть в коммент в скл-инъекции знак "?" - вот и весь обход "фильтрации":
(;

Nightmarе

Буква "i" в той регулярке - модификатор...

я тоже сразу подумал что надо проверять еще count массива... вопрос был не о том, но больше вопросов нет =)

Скули обречены на вымирание :)
Юзайте mysqli и ничего фильтровать не надо и искейпить тоже не надо ничего.

$mysqli = new mysqli();
$mysqli->prepare("select * from data where id = ?");

и далее по тексту :)

А если так использовать можно избежать xss/sqli???
Так вроде и раскрытия путей не будет

А где проверка на то что $par может быть массив?