Forum PHP.pl > [MySQL][PHP] PDO pytanie o bezpieczeństwo

Pomoc - Szukaj - Użytkownicy - Kalendarz

Pełna wersja: [MySQL][PHP] PDO pytanie o bezpieczeństwo

pjamalia

31.01.2012, 22:43:55

Witam,

Rozpocząłem używanie PDO z PHP i MySQL. Czy korzystanie z tych bibliotek daje zabezpieczenie przed SQLInjection?
Czy poniższy przykład właśnie daje taki efekt:

[PHP] pobierz, plaintext 
public function pdoGetUsersA()
    {       
        $sql = 
            'SELECT 
                  PAS.NICKNAME
                 ,PAS.TIMESTAMP
                 ,REG.NAME
                 ,REG.SURNAME
                 ,REG.EMAIL
            FROM REG REG
            INNER JOIN
                  PAS PAS
            ON
                  REG.id_usr = PAS.id_usr 
             ';
         foreach($this->pdo->query($sql) as $row)
         {
            $this->nickname[$this->counter] = $row['NICKNAME'];
            $this->counter++ ;
         }
         $this->pdo = null;
         $this->counter = null;         
    } 
[PHP] pobierz, plaintext

-kaem-

31.01.2012, 22:55:12

Przecież w tym zapytaniu nie podczepiasz żadnych danych od usera. Zły przykład. A żeby uniknąć sql injection używaj metody prepare() i bindowania parametrów.

pjamalia

31.01.2012, 23:06:01

To w takim razie czy moge poprosić o jakiś przykład wykorzystania tego co napisałeś na tym przyładzie:

[PHP] pobierz, plaintext 
public function pdoGetUsersA($pass)
 
    {       
 
        $sql = 
 
            'SELECT 
 
                  PAS.NICKNAME
 
                 ,PAS.TIMESTAMP
 
                 ,REG.NAME
 
                 ,REG.SURNAME
 
                 ,REG.EMAIL
 
            FROM REG REG
 
            INNER JOIN
 
                  PAS PAS
 
            ON
 
                  REG.pass = '$pass'
 
             ';
 
         foreach($this->pdo->query($sql) as $row)
 
         {
 
            $this->nickname[$this->counter] = $row['NICKNAME'];
 
            $this->counter++ ;
 
         }
 
         $this->pdo = null;
 
         $this->counter = null;         
 
    } 
[PHP] pobierz, plaintext

Crozin

1.02.2012, 02:40:35

http://www.php.net/manual/en/pdo.prepared-statements.php

-pjamalia-

1.02.2012, 22:04:06

To teraz ostatnie pytanie, czy ten poniższy insert jest już odporny na SQLInjection?

[PHP] pobierz, plaintext 
try
    { 
        $dbserver = DB_SERVER;
        $dbuser = DB_USER;
        $dbpass = DB_PASS;
        $db_name = DB_NAME;
        $pdo = null; 
        $pdo = new PDO('mysql:host='.$dbserver.';dbname='.$db_name,$dbuser,$dbpass);  
        $sth = $pdo->prepare
        ('
            INSERT INTO PDO 
                       (
                        IDE,          
                        IDA,
                        IDU,           
                        DATE_FROM,
                        DATE_TO,
                        ACTIVE
                       )        
                       VALUES(""
                              ,:ida 
                              ,:idu
                              ,:date_from
                              ,:date_to
                              ,:actve
                             )
        ');
 
        $sth->execute
        (
            array
            (
            ':ida'=>$idaa,
            ':idu'=>$idu,
            ':date_from'=>$date_from,
            ':date_to'=>$date_to,
            ':actve'=>$actve
            )
        );
        return true;
    }
    catch(PDOException $e)
    {
        echo 'Błąd: '.$e->getMessage();
        return false;
    }      
[PHP] pobierz, plaintext

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.