Bezpieczeństwo skryptu Opcje

[daniel1302]

Witam, ostatnio zgłosiłem pewien skrypt do szkolnego konkursu. Zadaniem było napisanie prostego systemu obsługi poleceń(kilka poleceń) do serwera w tym bazy danych. W piątek po przyjściu do szkoły wezwano mnie do pracowni komputerowej z powodu, że komisja konkursowa odrzuciła mój skrypt(rzekomo posiada luki w bezpieczeństwie). Oczywiście domagałem się jakiś informacji ale powiedziano mi "Wszelkie informacje zostaną wysłane w ciągu kilku godzin na emaila...". Poczekałem(kilka godzin przeszło w 2 dni), dzisiaj dostałem emaila:

......
Twój skrypt został wykluczony z konkursu ponieważ posiada rażącą lukę w bezpieczeństwie.....(info o temacie i zasadach). Błąd dotyczy dziury SQL Injection w zapytaniu umieszczonym poniżej(6 linia podanego kodu)....(blebleble)

[PHP] pobierz, plaintext 
if (!isset($_GET['code']) || strlen(trim($_GET['code']) != 32))
	$error = 'Błędny kod!';
else
{
	$test = $pdo -> prepare("SELECT * FROM activation WHERE code=:code");
	$test -> execute(array(':code' => $_GET['code']));
	$test = $test -> fetch();
...
[PHP] pobierz, plaintext 

6 linia to zapytanie poprzez bibliotekę PDO do $test.

Wszędzie gdzie czytałem ludzie pisali, że wysłanie parametru za pomocą metody prepare zabezpiecza przed SQL Injection. Jeśli skrypt nie posiada dziury to gdzie znajdę info popierające moje zdanie. A jeśli kod jest nie poprawny to proszę o nakierowanie(człowiek uczy się całe życie). Z góry dziękuje za pomoc.

Ten post edytował daniel1302 30.01.2011, 21:39:29

[pedro84]

Bo "szanowna" "komisja" nie ma bladego pojęcia o prepared statements. Zobaczyli gołego GETa i się wystraszyli. Fail i mega lol roku chyba (IMG:style_emoticons/default/smile.gif)