Forum PHP.pl

Forum PHP.pl > Forum > Przedszkole

Reply to this topic

Start new topic

[MySQL][PHP]PDO czy w 100% bezpieczne

vento Zobacz profil	20.05.2016, 20:38:03 Post #1
Grupa: Zarejestrowani Postów: 21 Pomógł: 0 Dołączył: 17.02.2016 Ostrzeżenie: (0%)	Witam. Mam pytanie odnośnie PDO. Czy w obecnej chwili jest możliwe jakieś wstrzyknięcie SQL przy np. takim kodzie: [PHP] pobierz, plaintext <?php include('connect.php'); $nick = $_POST['nick']; $komentarz = $_POST['komentarz']; $db = new PDO('mysql:host='.$server.';dbname='.$db_name.';charset=utf8mb4', ''.$login.'', ''.$password.''); try { $zapytanie = "INSERT INTO `pdo`.`main` (`nick`, `data`, `komentarz`) VALUES ('$nick', NOW(), '$komentarz');"; $db->query($zapytanie); } catch(PDOException $ex) { echo "error"; } ?> [PHP] pobierz, plaintext Wcześniej korzystałem z mysqli, ale przeczytałem, że PDO jest nowszą technologią, która posiada dodatkowe zabezpieczenia np. przed wstrzykiwaniem SQL. Tak jak pisałem na początku moje pytanie brzmi czy jest to w 100% bezpieczne?

kapslokk Zobacz profil	20.05.2016, 20:39:49 Post #2
Grupa: Zarejestrowani Postów: 965 Pomógł: 285 Dołączył: 19.06.2015 Skąd: Warszawa Ostrzeżenie: (0%)	tak, jest możliwe wstrzyknięcie sql. Używaj bindowania. http://php.net/manual/en/pdostatement.bindparam.php Ten post edytował kapslokk 20.05.2016, 20:40:09

vento Zobacz profil	20.05.2016, 20:41:18 Post #3
Grupa: Zarejestrowani Postów: 21 Pomógł: 0 Dołączył: 17.02.2016 Ostrzeżenie: (0%)	Cytat(kapslokk @ 20.05.2016, 21:39:49 ) tak, jest możliwe wstrzyknięcie sql. Używaj bindowania. http://php.net/manual/en/pdostatement.bindparam.php Rozumiem. Czy jest wtedy sens przeskakiwania na PDO czy można zostać przy mysqli?

kapslokk Zobacz profil	20.05.2016, 20:43:14 Post #4
Grupa: Zarejestrowani Postów: 965 Pomógł: 285 Dołączył: 19.06.2015 Skąd: Warszawa Ostrzeżenie: (0%)	Jeśli dopiero zaczynasz pisanie aplikacji, to chyba lepiej użyć PDO, w razie potrzeby łatwiej będzie Ci zmienić bazę danych, mysqli jest tylko do mysql'a. Jeżeli musisz przepisywać dużą część aplikacji to już Twoja decyzja

vento Zobacz profil	20.05.2016, 20:46:13 Post #5
Grupa: Zarejestrowani Postów: 21 Pomógł: 0 Dołączył: 17.02.2016 Ostrzeżenie: (0%)	Chodzi mi raczej tylko o bezpieczeństwo. W mysqli zamieniałem ciąg znaków na base64 a przy wyświetlaniu rekordów na stronie po prostu je odkodowywałem i to było moje zabezpieczenie przed wstrzykiwaniem sql. Myślałem, że PDO chroni przed jakimkolwiek wstrzyknięciem, ale jeżeli nie to chyba nie ma sensu przechodzić na PDO. Jeszcze jedno pytanie przeczytałem na jakimś forum, że w PHP 7.0 mysqli oraz mysql mają być usunięte i ma zostać samo PDO czy to prawda?

kapslokk Zobacz profil	20.05.2016, 20:50:31 Post #6
Grupa: Zarejestrowani Postów: 965 Pomógł: 285 Dołączył: 19.06.2015 Skąd: Warszawa Ostrzeżenie: (0%)	Cytat Myślałem, że PDO chroni przed jakimkolwiek wstrzyknięciem, ale jeżeli nie to chyba nie ma sensu przechodzić na PDO. Chroni, pod warunkiem, że używasz bindowania. Mysqli też ma bindowanie: http://php.net/manual/en/mysqli-stmt.bind-param.php Co do tego base64 to nie wiem jakby to miało w czymkolwiek pomóc. A co do PHP7 to mysql_ zostało usunięte, ale mysqli nadal jest.

vento Zobacz profil	20.05.2016, 21:01:38 Post #7
Grupa: Zarejestrowani Postów: 21 Pomógł: 0 Dołączył: 17.02.2016 Ostrzeżenie: (0%)	[PHP] pobierz, plaintext <?php include('connect.php'); $nick = $_POST['nick']; $komentarz = $_POST['komentarz']; $polaczenie = @new mysqli($servername, $username, $password, $dbname); if ($polaczenie->connect_errno!=0) { echo "ERROR TO CONNECT MYSQL"; } else { $nick = base64_encode($nick); $komentarz = base64_encode($komentarz); $zapytanie = "INSERT INTO `pdo`.`main` (`nick`, `data`, `komentarz`) VALUES ('$nick', NOW(), '$komentarz');"; $polaczenie->query($zapytanie); } ?> [PHP] pobierz, plaintext Chodzi mi mniej więcej o coś takiego, że wszystkie dane ktore wpisuje user zostają zamienione na base64 (przykład wyżej). Czy nadal jest możliwe wstrzyknięcie SQL? Ten post edytował vento 20.05.2016, 21:03:37

kapslokk Zobacz profil	20.05.2016, 21:05:18 Post #8
Grupa: Zarejestrowani Postów: 965 Pomógł: 285 Dołączył: 19.06.2015 Skąd: Warszawa Ostrzeżenie: (0%)	Hahaha, no nie jest możliwe, ale to nie jest optymalne rozwiązanie Wszystkie pola w bazie musiał byś mieć tekstowe, a to nie o to w tym wszystkim chodzi. Masz filtrować dane, a nie wrzucać co popadnie, tylko zakodowane w base64 Poza tym, już lepiej robić wszedzie: http://php.net/manual/en/mysqli.real-escape-string.php niż base64_encode pisania mniej-więcej tyle samo, a przynajmniej baze przeglądać możesz normalnie Ten post edytował kapslokk 20.05.2016, 21:08:56

vento Zobacz profil	20.05.2016, 21:13:27 Post #9
Grupa: Zarejestrowani Postów: 21 Pomógł: 0 Dołączył: 17.02.2016 Ostrzeżenie: (0%)	Rozumiem. Dziękuje za pomoc. [PHP] pobierz, plaintext <?php include('connect.php'); $nick = $_POST['nick']; $komentarz = $_POST['komentarz']; $polaczenie = @new mysqli($servername, $username, $password, $dbname); if ($polaczenie->connect_errno!=0) { echo "ERROR TO CONNECT MYSQL"; } else { $nick = mysqli_real_escape_string($polaczenie, $nick); $komentarz = mysqli_real_escape_string($polaczenie, $komentarz); $zapytanie = "INSERT INTO `pdo`.`main` (`nick`, `data`, `komentarz`) VALUES ('$nick', NOW(), '$komentarz');"; $polaczenie->query($zapytanie); } ?> [PHP] pobierz, plaintext Rozumiem, że teraz wszystko jest bezpieczne?

kapslokk Zobacz profil	20.05.2016, 21:16:17 Post #10
Grupa: Zarejestrowani Postów: 965 Pomógł: 285 Dołączył: 19.06.2015 Skąd: Warszawa Ostrzeżenie: (0%)	Tak.

Comandeer Zobacz profil	21.05.2016, 16:24:46 Post #11
Grupa: Zarejestrowani Postów: 1 268 Pomógł: 254 Dołączył: 11.06.2009 Skąd: Świętochłowice Ostrzeżenie: (0%)	Nie, nie jest! A czemu, to najlepiej wyjaśnia ta odpowiedź na SO: http://stackoverflow.com/a/8255054/5778385 Jedyny dobry sposób to PS: http://stackoverflow.com/a/60496/5778385 -------------------- ★Mój blog \|\| Okiem krytyka★

com Zobacz profil	22.05.2016, 13:36:13 Post #12
Grupa: Zarejestrowani Postów: 3 034 Pomógł: 366 Dołączył: 24.05.2012 Ostrzeżenie: (0%)	kapslokk ale nie pisz bazdur jakiekolwiek _real_escape_string, nie chroni przed niczym, to się używało w mysql_ bo tylko to tam było, ale dlatego ten sposób już umarł To nie daje nic, bo 95% współczesnych ataków przepuści

kapslokk Zobacz profil	23.05.2016, 08:23:38 Post #13
Grupa: Zarejestrowani Postów: 965 Pomógł: 285 Dołączył: 19.06.2015 Skąd: Warszawa Ostrzeżenie: (0%)	No dobra, moja wina, szczerze mówiąc nawet nie wiedziałem przyznaję się.

vento Zobacz profil	24.05.2016, 00:19:58 Post #14
Grupa: Zarejestrowani Postów: 21 Pomógł: 0 Dołączył: 17.02.2016 Ostrzeżenie: (0%)	Może mi ktoś napisać przykład jak dodać bezpiecznie komentarz, aby nie było możliwe wstrzyknięcie sql dla mysqli Póki co mam coś takiego: [PHP] pobierz, plaintext <?php include('connect.php'); $nick = $_POST['nick']; $komentarz = $_POST['komentarz']; $polaczenie = @new mysqli($servername, $username, $password, $dbname); if ($polaczenie->connect_errno!=0) { echo "ERROR TO CONNECT MYSQL"; } else { $nick = mysqli_real_escape_string($polaczenie, $nick); $komentarz = mysqli_real_escape_string($polaczenie, $komentarz); $zapytanie = "INSERT INTO `pdo`.`main` (`nick`, `data`, `komentarz`) VALUES ('$nick', NOW(), '$komentarz');"; $polaczenie->query($zapytanie); } ?> [PHP] pobierz, plaintext Z góry dziękuję za pomoc..

Tomplus Zobacz profil	24.05.2016, 06:13:44 Post #15
Grupa: Zarejestrowani Postów: 1 879 Pomógł: 230 Dołączył: 20.03.2005 Skąd: Będzin Ostrzeżenie: (0%)	Jak użyjesz PDO to zapytanie będzie proste: [PHP] pobierz, plaintext $zapytanie = $polaczenie->prepare("INSERT INTO `pdo`.`main` (`nick`, `data`, `komentarz`) VALUES ( :nick , NOW(), :komentarz);"); $zapytanie->bindValue(':nick', $nick); $zapytanie->bindValue(':komentarz', $komentarz); $zapytanie->execute(); [PHP] pobierz, plaintext mysqli_real_escape_string jest wtedy zbędne i usuwasz z kodu. Jeżeli nie planujesz mieć skomplikowanych zapytań lub tabele będziesz miał referencyjne, to możesz użyć już klas ułatwiające otrzymywanie wyników, aktualizację i dodawanie treści do bazy danych np. klasę: http://www.phpclasses.org/package/9209-PHP...tml#information Dla przykładu: [PHP] pobierz, plaintext $db->table('main') /* nazwa tabeli / ->insert([ 'nick' => $nick, / nazwa kolumny jako klucz / 'komentarz' => $komentarz ]); [PHP] pobierz, plaintext Ten post edytował Tomplus* 24.05.2016, 06:22:46

vento Zobacz profil	24.05.2016, 16:04:54 Post #16
Grupa: Zarejestrowani Postów: 21 Pomógł: 0 Dołączył: 17.02.2016 Ostrzeżenie: (0%)	Rozumiem, dziękuję za pomoc będę korzystał z PDO [PHP] pobierz, plaintext <?php include('connect.php'); $nick = $_POST['nick']; $komentarz = $_POST['komentarz']; $polaczenie = @new mysqli($servername, $username, $password, $dbname); if ($polaczenie->connect_errno!=0) { echo "ERROR TO CONNECT MYSQL"; } else { $zapytanie = $polaczenie->prepare("INSERT INTO `pdo`.`main` (`nick`, `data`, `komentarz`) VALUES (?, NOW(), ?);"); $zapytanie->bind_param("ss", $nick, $komentarz); $zapytanie->execute(); $zapytanie->close(); } ?> [PHP] pobierz, plaintext Tak też może być?

com Zobacz profil	24.05.2016, 16:56:40 Post #17
Grupa: Zarejestrowani Postów: 3 034 Pomógł: 366 Dołączył: 24.05.2012 Ostrzeżenie: (0%)	wywalisz małpę dodasz if z isset i będzie ok

vento Zobacz profil	24.05.2016, 18:00:38 Post #18
Grupa: Zarejestrowani Postów: 21 Pomógł: 0 Dołączył: 17.02.2016 Ostrzeżenie: (0%)	[PHP] pobierz, plaintext <?php include('connect.php'); if( (isset($_POST['nick'])) && (isset($_POST['komentarz'])) ) { $nick = $_POST['nick']; $komentarz = $_POST['komentarz']; $polaczenie = new mysqli($servername, $username, $password, $dbname); if ($polaczenie->connect_errno!=0) { echo "ERROR TO CONNECT MYSQL"; } else { $zapytanie = $polaczenie->prepare("INSERT INTO `pdo`.`main` (`nick`, `data`, `komentarz`) VALUES (?, NOW(), ?);"); $zapytanie->bind_param("ss", $nick, $komentarz); $zapytanie->execute(); $zapytanie->close(); } } else { exit(); } ?> [PHP] pobierz, plaintext Teraz ok? Ten post edytował vento 24.05.2016, 18:01:06

viking Zobacz profil	24.05.2016, 18:08:36 Post #19
Grupa: Zarejestrowani Postów: 6 380 Pomógł: 1116 Dołączył: 30.08.2006 Ostrzeżenie: (0%)	Cytat(vento @ 24.05.2016, 17:04:54 ) Rozumiem, dziękuję za pomoc będę korzystał z PDO Po czym korzystasz z mysqli Zamiast tych ifów poczytaj o wyjątkach. -------------------- Odpowiedzi na często zadawane pytania: Konfiguracja serwera Apache + PHP 7 pod Windows \| Kodowanie znaków na stronach www \| PHPTAL w Zend Framework \| Programowanie obiektowe w PHP \| PDO uniwersalnym sposobem na obsługę baz danych \| Kurs PHP (część 1): Podstawowy opis języka

« Następny starszy · Przedszkole · Następny nowszy »

Reply to this topic

Start new topic

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 20.08.2025 - 12:55

Powered By IP.Board © 2025 IPS, Inc.
All changes by PHP.pl Administrators

Hosting zapewnia

NQ.pl hosting, trac, svn