 [MySQL][PHP] PDO - ochrona danych |
| [MySQL][PHP] PDO - ochrona danych |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 226 Pomógł: 17 Dołączył: 13.02.2012 Ostrzeżenie: (0%) 
 |
Wiele naczytałem się na forum, głównie tym, że PDO jest cacy i nic innego nie warto używać tylko pdo bo nie trzeba się martwić o to, że ktoś zrobi nam niemiłą niespodziankę w postaci 'hacked by gimbus2013'. Teraz się zastanawiam... Jeśli mam zmienne typu $_POST lub $_GET to zwyczajnie, jeśli chcę liczbę - daję to w intval(), a jeśli tekst to tylko trim() i tyle. Pozostałą rolę miało odegrać tutaj bindowanie danych przy wybraniu odpowiedniego typu (PARAM_STR/PARAM_INT).
Próbowałem teraz jak to jest naprawdę i zauważyłem, że jak wklepię regułkę w input, tak ja widzę też w phpmyadminie (mówię o bindzie ustawionym na param_str i polu TEXT). Wklepałem i w całości przeszło do bazy danych bez jakiegokolwiek backslasha. To samo z htmlowymi znakami: też bez zmian - w całości poszło do bazy. Czy tak ma być ? Czy należy dodatkowo jeszcze filtrować jakoś dane ? Czy PDo chroni tylko i wyłącznie przed sql injection czy może przed xss też uchroni? ;> Ten post edytował Majkelo23 25.11.2013, 19:47:21 |
 |
 
|
Majkelo23 [MySQL][PHP] PDO - ochrona danych 25.11.2013, 19:41:22 
Turson PDO przygotowuje zapytanie tak, że jest ono wykony... 25.11.2013, 19:46:39 Majkelo23 Cytat(Turson @ 25.11.2013, 19:46:39 )... 25.11.2013, 19:49:15 Turson Przed XSS możesz się bronć się przy wyświetlaniu d... 25.11.2013, 19:55:23 Majkelo23 No dobra, tylko jeśli ja będę w swoim kodzie 20 ra... 25.11.2013, 20:04:28 
Turson Cytat(Majkelo23 @ 25.11.2013, 20:04:2... 25.11.2013, 20:58:19 nospor Wkladasz do bazy to robisz escapowanie, czyli stan... 25.11.2013, 20:54:55 c1chy samo PDO nie jest remedium na brak błędów w kodzie... 25.11.2013, 20:57:15   |
|
Aktualny czas: 24.12.2025 - 20:49 |
