[PHP][PDO] Czy potrzeba zabezpieczać zmienne, od użytkownika ?. Opcje

[Giluś]

Cześć, mam taki kod:

[PHP] pobierz, plaintext 
if(isset($_POST['username']))
{
$username = mysql_real_escape_string($_POST['username']);
						$zajety = $pdo -> prepare('SELECT id FROM `users` WHERE `login` = :login');
                        $zajety -> bindValue(':login', $username, PDO::PARAM_STR);
                        $zajety -> execute();
						$count = $zajety->rowCount();
							if($count > 0)	{echo 'OK';}
							else {
									$lang = (empty($_SESSION['lang'])) ? 'pl' : $_SESSION['lang'];
									require('./Joker/language/'.$lang.'/logowanie.inc.php'); 
									$tpl = new \Joker\Tpl\Engine('./templates/');		
									$view = $tpl->createView('logowanie_spr');
									$view->username = $username;
									$view->logowanie = $logowanie;
									$view->render();
								}
						$zajety -> closeCursor();	
}
[PHP] pobierz, plaintext 

I gdy go odpalam na localhost z PHP: 5.4.10 to działa normalnie, natomiast gdy go odpalę na serwerze gdzie jest PHP: 5.3.15 to jest błąd który znika jak usunę funkcję: mysql_real_escape_string();, ale czym zastąpić tą funkcję która zabezpieczała mi zmienne - A może PDO sam w sobie już posiada zabezpieczenie ?.

Pozdrawiam i z góry bardzo dziękuje.

[nospor]

PDO robi to za ciebie.... mysql_real_escape_string() jest zbędne

[Giluś]

Czyli wystarczy ustawiać tutaj:

[PHP] pobierz, plaintext 
bindValue(':login', $username, PDO::PARAM_STR);
// Lub...
bindValue(':login', $username, PDO::PARAM_INT);
[PHP] pobierz, plaintext 

Czy nawet i to nie jest potrzebne ?

[nospor]

No to musi być. To się nazywa bindowanie i dzieki temu nie musisz robić już nic więcej

[!*!]

No to musi być. To się nazywa bindowanie i dzieki temu nie musisz robić już nic więcej

Nie szalej, bo jeszcze uwierzy
Walidacja danych musi przebiegać zawsze, gdy odbierasz ją od użytkownika. Bez znaczenia czy używasz PDO czy nie.

Swoją drogą, jak to możliwe że na PHP 5.4 nie wywala błędu? Włączyłeś ich widoczność?

I poczytaj to http://pl.wikibooks.org/wiki/PHP/Biblioteka_PDO

Ten post edytował !*! 6.02.2013, 10:11:42

[nospor]

Nie szalej, bo jeszcze uwierzy
Walidacja danych musi przebiegać zawsze, gdy odbierasz ją od użytkownika. Bez znaczenia czy używasz PDO czy nie.

.... a od kiedy mysql_escape_string() to walidacja danych? Przecież mówimy o wkładaniu danych do bazy, a nie sprawdzaniu, czy user podał prawidłowe dane....

[!*!]

[PHP][PDO] Czy potrzeba zabezpieczać zmienne, od użytkownika

Pamiętasz ten temat z wczoraj o wkładaniu formularzy do bazy?

[nospor]

Pamietam. Ale co ma piernik do wiatraka? Mówimy tutaj o wkładaniu danych do bazy. Bindowanie wystarcza jeśli mówimy o wkladaniu danych do bazy. Autor pytał się o to w kontekście mysql_escape_string().

A ty wyjeżdzasz nagle z jakąś walidacją. To zupełnie inna sprawa czy dane które podał są prawidłowe w kontekście aplikacji. W kontekście wkładania do bazy bindowanie wystarcza.

[Giluś]

No tak na Localhoscie nie miałem uruchomionych błędów może dla tego...

Zawsze przy odbieraniu danych od użytkownika sprawdzałem funkcją mysql_real_escape_string(); czy nie posiada jakiś dziwnych danych które mogą zaszkodzić mojej bazie (ataki sql injection itp) i dlatego gdy teraz przerzuciłem się na PDO to się zastanawiam czym zastąpić tą funkcję, ale widzę że praktycznie nic nie trzeba robić..

A co do walidacji czyli są jakieś znaki w zmiennej, czy też jest ona za krótka, długa to już inna funkcja która działa mi bardzo dobrze..

Pozdrawiam i z góry bardzo dziękuje za odpowiedz.

[sowiq]

Zawsze przy odbieraniu danych od użytkownika sprawdzałem funkcją mysql_real_escape_string(); czy nie posiada jakiś dziwnych danych

Kolego, nie myl pojęć. Funkcja mysql_real_escape_string niczego nie sprawdza. Ona służy do "eskejpowania", czyli zabezpieczania przez dodawanie znaku ucieczki do potencjalnie niebezpiecznych znaków w ciągu.

Ten post edytował sowiq 6.02.2013, 11:18:25