Экранирование перед записью в БД

[t3rmit]

Есть готовая наполненая БД, в которой все почти все текстовые поля обработанные функциями htmlspecialchars + addslashes до вставки.
Сейчас работаю с этими данными в yii2.
В каждой модели в afterFind() достаю первоначальное значение:

Код: Выделить всё

        $this->text = htmlspecialchars_decode($this->text);
        $this->description = stripslashes(htmlspecialchars_decode($this->description));
        $this->meta_description = stripslashes(htmlspecialchars_decode($this->meta_description));
 

и наоборот обрабатываю в beforeSave():

Код: Выделить всё

            $this->text = htmlspecialchars($this->text);
            $this->description = addslashes(htmlspecialchars($this->description));
            $this->meta_description = addslashes(htmlspecialchars($this->meta_description));
 

Есть ли способ автоматизировать это? Готовые фильтры или еще что-то? Чтобы применялось addslashes и stripslashes ко всем полям типа varchar.
PS: Как yii2 защищает от sql-инъекций? Потому что в БД данные не екранируются по умолчанию.

[zelenin]

поведение. вот например https://github.com/vova07/yii2-start-bl ... og.php#L82

[iAchilles]

PS: Как yii2 защищает от sql-инъекций? Потому что в БД данные не екранируются по умолчанию.

параметризованные запросы, используется PDO. /Экранирование хранимых данных в БД никакого отношения по большему счету к SQL injection не имеет, а используется для того, чтобы предостеречь от типа XSS атак, и в данном случае лучше использовать htmlpurifier, который имеет просто огромное множество настроек и приведет данные введенные пользователем в нужный вам вид, а затем вы их сохраните в бд.

[maleks]

[quote=t3rmit]Есть готовая наполненая БД, в которой все почти все текстовые поля обработанные функциями htmlspecialchars + addslashes до вставки. [/quote]
Абсолютно неграмотно сделано было.

[t3rmit]

в данном случае лучше использовать htmlpurifier, который имеет просто огромное множество настроек и приведет данные введенные пользователем в нужный вам вид, а затем вы их сохраните в бд

Абсолютно неграмотно сделано было.

В моем случае, я переганяю данные из старой БД в новую с помощью консольной команды. Поэтому могу изменить даные перед сохранением. В каком виде их лучше пересохранить? Вернуть к исходным с помощью htmlspecialchars_decode, stripslashes... Не повлияет ли это на безопастность, с учетом, что буду екранировать содержимое перед выводом с помощью

Код: Выделить всё

Html::encode() 

?

[maleks]

htmlspecialchars_decode надо сделать.
stripslashes скорее всего не нужна. Посмотри в базе у тебя апострофы идут же без экранирования?
Если addslashes использовалась одна, то это было сделано как защита от SQL-inj и данные она не трансформировала.

Обрабатывать Html::encode() на выводе - это и есть безопасность.

[lynicidn]

Код: Выделить всё

rules()
{
return ['text', 'filter', 'filter' => 'addslashes'];
}