Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> PDO zabezpieczenia ?
smiady
post
Post #1





Grupa: Zarejestrowani
Postów: 137
Pomógł: 2
Dołączył: 2.07.2007
Skąd: Ostrzeszów

Ostrzeżenie: (0%)
-----

Witam.

Mam pytanie odnośnie PDO i wstrzykiwania kodu.
Otóż mam taki fragment:

[PHP] pobierz, plaintext 
  1. 					$db= new PDO('mysql:host=localhost;dbname=test', 'root', '');
  2.  
  3. 					$sql= "SELECT id FROM uzytkownicy WHERE login= :login AND haslo= :haslo";
  4. 					$login= $db->prepare($sql);
  5.  
  6. 					$login->execute(array(':login' => $_REQUEST['login'],
  7. 								         ':haslo' => $_REQUEST['haslo']));
  8. 					if($login->fetch()) echo 'zostałeś zalogowany !';
  9. 					else echo 'niestety nie zostałeś zalogowany !';
[PHP] pobierz, plaintext


i gdy w loginie wpisuje np test' -- (po myślnikach jeszcze spacja) to nie da się zalogować, a w przypadku mysqli bez użycia real_escape_string już da.
Myślałem, że bindValue ma zabezpieczenia, a czy execute je też tworzy ? czy w przypadku PDO kod się inaczej wstrzykuje - jeśli tak to jak ?
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
Michael2318
post
Post #2





Grupa: Zarejestrowani
Postów: 651
Pomógł: 116
Dołączył: 3.06.2012
Skąd: Lędziny

Ostrzeżenie: (0%)
-----

PDO ogólnie ma taką ideę, że nie musisz w ogóle myśleć nad jakimikolwiek zabezpieczeniami bo PDO samo sobie z filtracją poradzi, Ty jedynie co to możesz ew. zdefiniować podczas bindowania czy chcesz otrzymać wartość liczbową (INT) czy tekst (STR), tyle.

Ja na Twoim miejscu bindowałbym te wartości (IMG:style_emoticons/default/smile.gif)

Ten post edytował Michael2318 25.06.2014, 22:42:56
Go to the top of the page
+Quote Post

Posty w temacie
- smiady   PDO zabezpieczenia ?   25.06.2014, 22:32:04
- - Damonsson   To co robisz w execute to właśnie skrócone bindowa...   25.06.2014, 22:35:33
- - smiady   W zasadzie bindValue mija się trochę z celem, bo r...   25.06.2014, 22:38:59
- - Michael2318   PDO ogólnie ma taką ideę, że nie musisz w ogóle my...   25.06.2014, 22:39:47
- - Damonsson   Nie prawda, powinno się stosować bindValue/Param i...   25.06.2014, 22:41:58
- - redeemer   @Michael2318: Nie zgadzam się. Trzeba pamiętać, że...   25.06.2014, 22:45:54
- - Spawnm   PDO nic nie pomoże jeśli ktoś wsadzi $_GET/...   25.06.2014, 23:30:07
- - Michael2318   Dlatego dodałem, że jedyne co musi zrobić to zbind...   26.06.2014, 08:04:23
- - smiady   Mówicie, że z bindValue należy korzystać, bo okreś...   26.06.2014, 20:08:58
- - Michael2318   smiady, zauważ, że tak czy siak w pewnym sensie fi...   26.06.2014, 20:23:38
- - smiady   OK, Michael2318 zgadam się. Tylko zwracam uwagę na...   26.06.2014, 20:39:10
- - Crozin   1. Wszystkie zmienne w $_GET/$_POST/...   26.06.2014, 21:20:00

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 16.10.2025 - 03:52
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn