[MySQL][PHP] PDO - ochrona danych Opcje

[Majkelo23]

Wiele naczytałem się na forum, głównie tym, że PDO jest cacy i nic innego nie warto używać tylko pdo bo nie trzeba się martwić o to, że ktoś zrobi nam niemiłą niespodziankę w postaci 'hacked by gimbus2013'. Teraz się zastanawiam... Jeśli mam zmienne typu $_POST lub $_GET to zwyczajnie, jeśli chcę liczbę - daję to w intval(), a jeśli tekst to tylko trim() i tyle. Pozostałą rolę miało odegrać tutaj bindowanie danych przy wybraniu odpowiedniego typu (PARAM_STR/PARAM_INT).
Próbowałem teraz jak to jest naprawdę i zauważyłem, że jak wklepię regułkę w input, tak ja widzę też w phpmyadminie (mówię o bindzie ustawionym na param_str i polu TEXT). Wklepałem

[PHP] pobierz, plaintext 
' AND 1=1 /*
[PHP] pobierz, plaintext 

i w całości przeszło do bazy danych bez jakiegokolwiek backslasha. To samo z htmlowymi znakami:

[HTML] pobierz, plaintext 
<script type="text/javascript">alert("test");</script>
[HTML] pobierz, plaintext 

też bez zmian - w całości poszło do bazy. Czy tak ma być ? Czy należy dodatkowo jeszcze filtrować jakoś dane ? Czy PDo chroni tylko i wyłącznie przed sql injection czy może przed xss też uchroni? ;>

Ten post edytował Majkelo23 25.11.2013, 19:47:21

[c1chy]

samo PDO nie jest remedium na brak błędów w kodzie, ale wystarczy że będziesz korzystał z prepared statements i wszystko powinno być ok. Co do XSS samo htmlspeialchars czasem nie wystarcza (głównie z powodu złego użycia), możesz poszukać w sieci tutoriali do xss i przetestować swoją aplikację wobec wszystkich dostępnych technik.