[MySQL][PHP]PDO czy w 100% bezpieczne Opcje

[vento]

Witam. Mam pytanie odnośnie PDO.
Czy w obecnej chwili jest możliwe jakieś wstrzyknięcie SQL przy np. takim kodzie:

[PHP] pobierz, plaintext 
<?php
include('connect.php');
$nick = $_POST['nick'];
$komentarz = $_POST['komentarz'];
$db = new PDO('mysql:host='.$server.';dbname='.$db_name.';charset=utf8mb4', ''.$login.'', ''.$password.'');
try
{
    $zapytanie = "INSERT INTO `pdo`.`main` (`nick`, `data`, `komentarz`) VALUES ('$nick', NOW(), '$komentarz');";
    $db->query($zapytanie);
}
catch(PDOException $ex)
{
    echo "error";
}
?>
[PHP] pobierz, plaintext 

Wcześniej korzystałem z mysqli, ale przeczytałem, że PDO jest nowszą technologią, która posiada dodatkowe zabezpieczenia np. przed wstrzykiwaniem SQL.
Tak jak pisałem na początku moje pytanie brzmi czy jest to w 100% bezpieczne?

[kapslokk]

tak, jest możliwe wstrzyknięcie sql. Używaj bindowania. http://php.net/manual/en/pdostatement.bindparam.php

Ten post edytował kapslokk 20.05.2016, 20:40:09

[vento]

tak, jest możliwe wstrzyknięcie sql. Używaj bindowania. http://php.net/manual/en/pdostatement.bindparam.php

Rozumiem. Czy jest wtedy sens przeskakiwania na PDO czy można zostać przy mysqli?

[kapslokk]

Jeśli dopiero zaczynasz pisanie aplikacji, to chyba lepiej użyć PDO, w razie potrzeby łatwiej będzie Ci zmienić bazę danych, mysqli jest tylko do mysql'a. Jeżeli musisz przepisywać dużą część aplikacji to już Twoja decyzja

[vento]

Chodzi mi raczej tylko o bezpieczeństwo.
W mysqli zamieniałem ciąg znaków na base64 a przy wyświetlaniu rekordów na stronie po prostu je odkodowywałem i to było moje zabezpieczenie przed wstrzykiwaniem sql.
Myślałem, że PDO chroni przed jakimkolwiek wstrzyknięciem, ale jeżeli nie to chyba nie ma sensu przechodzić na PDO.
Jeszcze jedno pytanie przeczytałem na jakimś forum, że w PHP 7.0 mysqli oraz mysql mają być usunięte i ma zostać samo PDO czy to prawda?

[kapslokk]

Myślałem, że PDO chroni przed jakimkolwiek wstrzyknięciem, ale jeżeli nie to chyba nie ma sensu przechodzić na PDO.

Chroni, pod warunkiem, że używasz bindowania. Mysqli też ma bindowanie: http://php.net/manual/en/mysqli-stmt.bind-param.php

Co do tego base64 to nie wiem jakby to miało w czymkolwiek pomóc.

A co do PHP7 to mysql_ zostało usunięte, ale mysqli nadal jest.

[vento]

[PHP] pobierz, plaintext 
<?php
include('connect.php');
$nick = $_POST['nick'];
$komentarz = $_POST['komentarz'];
$polaczenie = @new mysqli($servername, $username, $password, $dbname);
if ($polaczenie->connect_errno!=0)
     {
            echo "ERROR TO CONNECT MYSQL";
     }
else		
     {
        $nick = base64_encode($nick);
 	$komentarz = base64_encode($komentarz);
        $zapytanie = "INSERT INTO `pdo`.`main` (`nick`, `data`, `komentarz`) VALUES ('$nick', NOW(), '$komentarz');";
	$polaczenie->query($zapytanie);
     }
 
?>
[PHP] pobierz, plaintext 

Chodzi mi mniej więcej o coś takiego, że wszystkie dane ktore wpisuje user zostają zamienione na base64 (przykład wyżej).
Czy nadal jest możliwe wstrzyknięcie SQL?

Ten post edytował vento 20.05.2016, 21:03:37

[kapslokk]

Hahaha, no nie jest możliwe, ale to nie jest optymalne rozwiązanie Wszystkie pola w bazie musiał byś mieć tekstowe, a to nie o to w tym wszystkim chodzi. Masz filtrować dane, a nie wrzucać co popadnie, tylko zakodowane w base64

Poza tym, już lepiej robić wszedzie: http://php.net/manual/en/mysqli.real-escape-string.php niż base64_encode pisania mniej-więcej tyle samo, a przynajmniej baze przeglądać możesz normalnie

Ten post edytował kapslokk 20.05.2016, 21:08:56

[vento]

Rozumiem. Dziękuje za pomoc.

[PHP] pobierz, plaintext 
<?php
include('connect.php');
$nick = $_POST['nick'];
$komentarz = $_POST['komentarz'];
$polaczenie = @new mysqli($servername, $username, $password, $dbname);
if ($polaczenie->connect_errno!=0)
     {
            echo "ERROR TO CONNECT MYSQL";
     }
else		
     {
        $nick = mysqli_real_escape_string($polaczenie, $nick);
 	$komentarz = mysqli_real_escape_string($polaczenie, $komentarz);
        $zapytanie = "INSERT INTO `pdo`.`main` (`nick`, `data`, `komentarz`) VALUES ('$nick', NOW(), '$komentarz');";
	$polaczenie->query($zapytanie);
     }
 
?>
[PHP] pobierz, plaintext 

Rozumiem, że teraz wszystko jest bezpieczne?

[kapslokk]

Tak.

[Comandeer]

Nie, nie jest! A czemu, to najlepiej wyjaśnia ta odpowiedź na SO: http://stackoverflow.com/a/8255054/5778385
Jedyny dobry sposób to PS: http://stackoverflow.com/a/60496/5778385

[com]

kapslokk ale nie pisz bazdur jakiekolwiek *_real_escape_string, nie chroni przed niczym, to się używało w mysql_* bo tylko to tam było, ale dlatego ten sposób już umarł To nie daje nic, bo 95% współczesnych ataków przepuści

[kapslokk]

No dobra, moja wina, szczerze mówiąc nawet nie wiedziałem przyznaję się.

[vento]

Może mi ktoś napisać przykład jak dodać bezpiecznie komentarz, aby nie było możliwe wstrzyknięcie sql dla mysqli
Póki co mam coś takiego:

[PHP] pobierz, plaintext 
<?php
include('connect.php');
$nick = $_POST['nick'];
$komentarz = $_POST['komentarz'];
$polaczenie = @new mysqli($servername, $username, $password, $dbname);
if ($polaczenie->connect_errno!=0)
     {
            echo "ERROR TO CONNECT MYSQL";
     }
else		
     {
        $nick = mysqli_real_escape_string($polaczenie, $nick);
 	$komentarz = mysqli_real_escape_string($polaczenie, $komentarz);
        $zapytanie = "INSERT INTO `pdo`.`main` (`nick`, `data`, `komentarz`) VALUES ('$nick', NOW(), '$komentarz');";
	$polaczenie->query($zapytanie);
     }
 
?>
[PHP] pobierz, plaintext 

Z góry dziękuję za pomoc..

[Tomplus]

Jak użyjesz PDO to zapytanie będzie proste:

[PHP] pobierz, plaintext 
$zapytanie = $polaczenie->prepare("INSERT INTO `pdo`.`main` (`nick`, `data`, `komentarz`) VALUES ( :nick , NOW(), :komentarz);");
$zapytanie->bindValue(':nick', $nick);
$zapytanie->bindValue(':komentarz', $komentarz);
$zapytanie->execute();
[PHP] pobierz, plaintext 

mysqli_real_escape_string jest wtedy zbędne i usuwasz z kodu.


Jeżeli nie planujesz mieć skomplikowanych zapytań lub tabele będziesz miał referencyjne, to możesz użyć już klas ułatwiające otrzymywanie wyników, aktualizację i dodawanie treści do bazy danych np. klasę:
http://www.phpclasses.org/package/9209-PHP...tml#information

Dla przykładu:

[PHP] pobierz, plaintext 
$db->table('main') /* nazwa tabeli */
    ->insert([
        'nick' => $nick, /* nazwa kolumny jako klucz  */
        'komentarz' => $komentarz
    ]);
[PHP] pobierz, plaintext 

Ten post edytował Tomplus 24.05.2016, 06:22:46

[vento]

Rozumiem, dziękuję za pomoc będę korzystał z PDO

[PHP] pobierz, plaintext 
<?php
include('connect.php');
$nick = $_POST['nick'];
$komentarz = $_POST['komentarz'];
$polaczenie = @new mysqli($servername, $username, $password, $dbname);
if ($polaczenie->connect_errno!=0)
     {
            echo "ERROR TO CONNECT MYSQL";
     }
else		
     {
        $zapytanie = $polaczenie->prepare("INSERT INTO `pdo`.`main` (`nick`, `data`, `komentarz`) VALUES (?, NOW(), ?);");
        $zapytanie->bind_param("ss", $nick, $komentarz);
        $zapytanie->execute();
        $zapytanie->close();
     }
 
?>
[PHP] pobierz, plaintext 

Tak też może być?

[com]

wywalisz małpę dodasz if z isset i będzie ok

[vento]

[PHP] pobierz, plaintext 
<?php
include('connect.php');
 
if( (isset($_POST['nick'])) && (isset($_POST['komentarz'])) )
{
$nick = $_POST['nick'];
$komentarz = $_POST['komentarz'];
$polaczenie = new mysqli($servername, $username, $password, $dbname);
if ($polaczenie->connect_errno!=0)
     {
            echo "ERROR TO CONNECT MYSQL";
     }
else		
     {
        $zapytanie = $polaczenie->prepare("INSERT INTO `pdo`.`main` (`nick`, `data`, `komentarz`) VALUES (?, NOW(), ?);");
        $zapytanie->bind_param("ss", $nick, $komentarz);
        $zapytanie->execute();
        $zapytanie->close();
     }
} 
else
{
exit();
}
 
?>
[PHP] pobierz, plaintext 

Teraz ok?

Ten post edytował vento 24.05.2016, 18:01:06

[viking]

Rozumiem, dziękuję za pomoc będę korzystał z PDO

Po czym korzystasz z mysqli
Zamiast tych ifów poczytaj o wyjątkach.