Lors de l' *pas* utiliser les requêtes préparées?
Je suis re-engineering PHP driven web site qui utilise un minimum de base de données. La version originale utilisés "pseudo-préparé-états" (fonctions PHP qui ne citant et le paramètre de remplacement) pour éviter les attaques par injection et à la base de données distincte de la logique à partir de la page logique.
Il semblait naturel pour remplacer ces fonctions ad-hoc avec un objet qui utilise PDO et réel déclarations préparées à l'avance, mais après avoir fait ma lecture sur eux, je ne suis pas si sûr. AOP semble encore comme une grande idée, mais l'un des principaux points de vente de déclarations préparées à l'avance, c'est de pouvoir les réutiliser... je ne le sera jamais. Voici ma configuration:
- Les états sont tous trivialement simple. La plupart sont dans la forme
SELECT foo,bar FROM baz WHERE quux = ? ORDER BY bar LIMIT 1. Le plus complexe de la déclaration dans le lot est tout simplement trois sélectionne réunis avecUNION ALLs. - Chaque page frappé exécute au plus une déclaration et l'exécute qu'une seule fois.
- Je suis dans un environnement hébergé, et donc réticent à l'idée de le claquement de leurs serveurs en faisant une "stress tests" personnellement.
Donné que l'utilisation des requêtes préparées seront, au minimum, doubler le nombre de base de données allers-retours, je suis en train de faire, suis-je mieux de les éviter? Puis-je utiliser PDO::MYSQL_ATTR_DIRECT_QUERY pour éviter la surcharge de plusieurs voyages de base de données, tout en conservant le bénéfice de paramétrisation et l'injection de la défense? Ou de faire les appels binaires utilisés par l'instruction préparée API effectuer assez bien par rapport à l'exécution de non-requêtes préparées que je ne devrais pas m'en inquiéter?
EDIT:
Merci pour tous ces bons conseils, des gens. C'est celui où je souhaite que je pourrais cocher plus d'une réponse comme "accepté" — beaucoup de points de vue différents. En fin de compte, cependant, je dois donner rick son dû... sans sa réponse, j'aurais béatement parti et fait l'complètement Mauvaise Chose, même après suivantes de chacun des conseils. 🙂
Émulé déclarations préparées à l'avance, il est!
- Attention: AOP émulé préparées sont vulnérables à l'injection SQL si le jeu de caractères est modifiée lors de l'exécution. Voir cette réponse et cette réponse pour une explication.
- C'est simple: Si vous savez que la chaîne vient de votre demande et ne peut pas être manipulé par un utilisateur, il n'est pas nécessaire pour les déclarations préparées à l'avance, car il n'y a rien à injecter. Si vous n'êtes pas sûr (mauvais, mais en plus de projets non évitables) l'utilisation de l'instruction préparée.
Vous devez vous connecter pour publier un commentaire.
Je pense que vous voulez PDO::ATTR_EMULATE_PREPARES. Qui éteint le natif de la base de données des déclarations préparées, mais permet toujours de liaisons de requête pour empêcher l'injection sql et de garder votre sql bien rangé. Ce que je comprends, PDO::MYSQL_ATTR_DIRECT_QUERY s'éteint liaisons de requête complètement.
Aujourd'hui la règle de génie logiciel: si il ne va pas faire quelque chose pour vous, ne l'utilisez pas.
Quand pas d'utiliser les requêtes préparées? Lorsque vous allez seulement d'être en cours d'exécution de l'instruction en une seule fois avant la connexion db s'en va.
Quand pas à utiliser lié paramètres de la requête (qui est vraiment ce que la plupart des gens utilisent des requêtes préparées à obtenir)? Je suis enclin à dire "jamais" et j'ai vraiment envie de dire "jamais", mais la réalité est que la plupart des bases de données et certains db couches d'abstraction ont certaines circonstances dans lesquelles ils ne vous permettra pas de lier des paramètres, ce qui vous force à ne pas les utiliser dans ces cas. Tout autre temps, cependant, il rendra votre vie plus simple et votre code plus sûr à utiliser.
Je ne suis pas familier avec PDO, mais je serais prêt à parier qu'il fournit un mécanisme pour l'exécution de requêtes paramétrées avec les valeurs données dans le même appel de fonction si vous ne voulez pas préparer, puis exécuter en tant qu'une étape distincte. (par exemple, quelque Chose comme
run_query("SELECT * FROM users WHERE id = ?", 1)ou similaire).Aussi, si vous regardez sous le capot, la plupart db couches d'abstraction va préparer la requête, puis lancez-le, même si vous venez de le dire à l'exécution d'une statique de l'instruction SQL. Alors, vous êtes probablement pas l'économie d'un voyage à la db en évitant explicite prépare de toute façon.
$dbh->prepare("SQL")->execute(array(PARAMETERS));mais alors vous ne pouvez pas obtenir de résultat à partir de la base de données. (PDOStatement::execute()ne renvoie qu'une valeur booléenne (pour signaler une erreur).Les instructions préparées sont utilisés par des milliers de personnes et sont donc bien testé (et donc on peut en déduire qu'ils sont raisonnablement en sécurité). Votre solution personnalisée, n'est utilisé que par vous.
La chance que votre solution personnalisée est l'insécurité est assez élevé. Utiliser les requêtes préparées. Vous devez maintenir moins de code de cette façon.
Les avantages des requêtes préparées sont comme suit:
Cependant, les requêtes préparées ne persiste que par connexion. Sauf si vous êtes en utilisant le regroupement de connexion, il n'y aurait aucun avantage si vous êtes seulement faire une déclaration par page. Trivialement des requêtes simples, ne pourraient pas bénéficier de la plus efficace format de transport, soit.
Personnellement, je ne voudrais pas ennuyer. Les pseudo-instructions préparées sont susceptibles d'être utiles pour la sécurité de la variable citant on peut présumer qu'ils fournissent.
Honnêtement, je ne pense pas que vous devriez vous inquiéter à ce sujet. Cependant, je me souviens qu'un certain nombre de données PHP cadre de systèmes d'accès pris en charge de préparer la déclaration des modes et des non-préparer les déclaration de mode. Si je me souviens bien, de la POIRE:DB avez-retour dans la journée.
J'ai couru dans le même problème que vous et j'ai eu mes propres réserves, au lieu d'utiliser PDO, j'ai fini par écrire ma propre lumière-poids de la couche de base de données que les prises en charge de préparer et d'états standards et effectué correcte de s'échapper (sql-injection de prévention) dans les deux cas. Un autre de mes problèmes avec les prépare, c'est que parfois il est plus efficace de l'ajout de certains non-escapable d'entrée à une telle déclaration ... OÙ l'id DANS l'(1, 2, 3...).
Je ne sais pas assez sur PDO pour vous dire ce que les autres options que vous avez à l'utiliser. En revanche, je sais que PHP a s'échapper les fonctions disponibles pour tous les fournisseurs de base de données, il prend en charge et vous pourriez rouler votre propre petite couche sur le haut de la couche d'accès aux données vous êtes coincé avec.