Comment désinfecter l'entrée avec PDO?

Dois-je utiliser mysql_real_escape_string() sur mon entrée (comme $_POST et $_GET) lorsque j'utilise le AOP bibliothèque?

Comment échapper à la saisie de l'utilisateur avec PDO?

source d'informationauteur Karem

  1. 29

    Si vous utilisez PDO vous pouvez parametize vos requêtes, en supprimant la nécessité d'échapper à toutes les variables incluses.

    Voir ici pour un excellent tutoriel d'introduction pour les AOP.

    Utiliser PDO, vous pouvez séparer le SQL et de transmettre des paramètres à l'aide de déclarations préparées à l'avance, ce qui supprime le besoin d'échapper les chaînes, que parce que les deux sont détenus séparément puis combinés lors de l'exécution, les paramètres sont automatiquement traitées comme des piqûres, de la ci-dessus source:

       //where $dbh is your PDO connection

   $stmt = $dbh->prepare("SELECT * FROM animals WHERE animal_id = :animal_id AND animal_name = :animal_name");

   /*** bind the paramaters ***/
   $stmt->bindParam(':animal_id', $animal_id, PDO::PARAM_INT);
   $stmt->bindParam(':animal_name', $animal_name, PDO::PARAM_STR, 5);

   /*** execute the prepared statement ***/
   $stmt->execute();

    Remarque: le nettoyage se produit au cours de variable de liaison ($stmt->bindParam)

    D'autres ressources:

    http://net.tutsplus.com/tutorials/php/why-you-should-be-using-phps-pdo-for-database-access/

    http://www.phpeveryday.com/articles/PDO-Prepared-Statement-P550.html

    http://php.net/manual/en/pdo.prepared-statements.php

  2. 5

    Le point important lors de l'utilisation de PDO est:

    AOP ne l'assainir pour SQL, pas pour votre application.

    Donc oui, pour l'écrit, tels que l'INSERTION ou de mise à JOUR, il est particulièrement important de toujours filtrer vos données et de désinfecter pour d'autres choses (suppression des balises HTML, JavaScript, etc).

    <?php
$pdo = new PDO(...);
$stmt = $pdo->prepare('UPDATE users SET name = :name WHERE id = :id');
$id = filter_input(INPUT_GET, 'id', FILTER_SANITIZE_NUMBER_INT); //<-- filter your data first
$name = filter_input(INPUT_GET, 'name', FILTER_SANITIZE_STRING); //<-- filter your data first
$stmt->bindParam(':id', $id, PDO::PARAM_INT); //<-- Automatically sanitized for SQL by PDO
$stmt->bindParam(':name', $name, PDO::PARAM_STR); //<-- Automatically sanitized for SQL by PDO
$stmt->execute();

    Sans désinfection à l'entrée de l'utilisateur, un hacker pourrait avoir économisé un peu de javascript dans votre base de données et ensuite, lorsque la sortie vers votre site, vous avez été exposé à une menace!

    http://www.phptherightway.com/#pdo_extension