PDO zabezpieczenia ? Opcje

[smiady]

Witam.

Mam pytanie odnośnie PDO i wstrzykiwania kodu.
Otóż mam taki fragment:

[PHP] pobierz, plaintext 
					$db= new PDO('mysql:host=localhost;dbname=test', 'root', '');
 
					$sql= "SELECT id FROM uzytkownicy WHERE login= :login AND haslo= :haslo";
					$login= $db->prepare($sql);
 
					$login->execute(array(':login' => $_REQUEST['login'],
								         ':haslo' => $_REQUEST['haslo']));
					if($login->fetch()) echo 'zostałeś zalogowany !';
					else echo 'niestety nie zostałeś zalogowany !';
[PHP] pobierz, plaintext 

i gdy w loginie wpisuje np test' -- (po myślnikach jeszcze spacja) to nie da się zalogować, a w przypadku mysqli bez użycia real_escape_string już da.
Myślałem, że bindValue ma zabezpieczenia, a czy execute je też tworzy ? czy w przypadku PDO kod się inaczej wstrzykuje - jeśli tak to jak ?

[Damonsson]

To co robisz w execute to właśnie skrócone bindowanie. Tak się nie da nic wstrzyknąć.

[smiady]

W zasadzie bindValue mija się trochę z celem, bo raz, że jest dłuższe w zapisie, to i tak trzeba stosować execute potem.

[Michael2318]

PDO ogólnie ma taką ideę, że nie musisz w ogóle myśleć nad jakimikolwiek zabezpieczeniami bo PDO samo sobie z filtracją poradzi, Ty jedynie co to możesz ew. zdefiniować podczas bindowania czy chcesz otrzymać wartość liczbową (INT) czy tekst (STR), tyle.

Ja na Twoim miejscu bindowałbym te wartości (IMG:style_emoticons/default/smile.gif)

Ten post edytował Michael2318 25.06.2014, 22:42:56

[Damonsson]

Nie prawda, powinno się stosować bindValue/Param i ogólnie wszędzie tak się stosuje.

Poza tym tutaj w execute wymuszony jest string, w bindValue/Param możesz przesłać parametr jako INT na przykład.

[redeemer]

@Michael2318: Nie zgadzam się. Trzeba pamiętać, że używanie PDO nie zwalnia z myślenia i czasami (zwłaszcza dla mało doświadcznych programistów) może dawać złudne poczucie "bezpieczeństwa". Często się zdarzają błędy typu SQL injection, pomimo "używania" PDO.

[Spawnm]

PDO nic nie pomoże jeśli ktoś wsadzi $_GET/$_POST do sqla w stylu $sql = "SELECT * FROM foo WHERE id=".$_GET['id'];
Nadal będziemy mieć podatność mimo super pdo.

[Michael2318]

Dlatego dodałem, że jedyne co musi zrobić to zbindować daną wartość i określić czy spodziewa się stringa czy wartości liczbowej (int) w rezultacie (IMG:style_emoticons/default/smile.gif)

Ten post edytował Michael2318 26.06.2014, 08:05:03

[smiady]

Mówicie, że z bindValue należy korzystać, bo określasz czego się spodziewasz, więc zrobiłem test

[PHP] pobierz, plaintext 
				$sql= "INSERT INTO liczby(liczba1, liczba2, liczba3) VALUES(:liczba1, :liczba2, :liczba3)";
				$liczby= $db->prepare($sql);
 
				$liczby->execute(array(':liczba1' => $_REQUEST['liczba1'],
							           ':liczba2' => $_REQUEST['liczba2'],
								   ':liczba3' => $_REQUEST['liczba3']));
[PHP] pobierz, plaintext 

gdzie liczba1 to int, liczba2 to double, liczba3 to string. Podaje liczby i nie ma problemu zapisuje w bazie, więc w sumie zastanawiam się nad sensem stosowania bindValue.
Jak np podam test, test, test to zapisze 0, 0, test, jak 1test, 2test, 3test to zapisze 1, 2, 3, czyli w sumie execute ładnie parsuje.

Ten post edytował smiady 26.06.2014, 20:12:21

[Michael2318]

smiady, zauważ, że tak czy siak w pewnym sensie filtrujesz te dane, tyle że nie przez bindvalue, a przez execute. Ważne, że nie puszcza się tych danych na ślepo, tak jak zapodał to Spawn w przykładzie.

[smiady]

OK, Michael2318 zgadam się. Tylko zwracam uwagę na to co napisał Damonsson, że execute wymusza zawsze string i nie powinno się tak robić, ale w sumie jak się poda int to nic złego się nie stanie (IMG:style_emoticons/default/smile.gif)

[Crozin]

1. Wszystkie zmienne w $_GET/$_POST/$_COOKIE/$_REQUEST są stringami, chyba że wcześniej w kodzie nadpisałeś ich wartość.
2. PDOStatement::execute z argumentem to nic innego jak skrócona forma:

[PHP] pobierz, plaintext 
$stmt->bindValue(':abc', 'wartosc', PDO::PARAM_STR);
$stmt->bindValue(':def', 'wartość', PDO::PARAM_STR);
$stmt->bindValue(':ghi', 123, PDO::PARAM_STR); // taki zapis jest również poprawny
$stmt->execute();
[PHP] pobierz, plaintext