Sont PDO déclarations préparées à l'avance suffisante pour empêcher l'injection SQL?

Disons que j'ai un code comme ceci:

$dbh = new PDO("blahblah");

$stmt = $dbh->prepare('SELECT * FROM users where username = :username');
$stmt->execute( array(':username' => $_REQUEST['username']) );

L'AOP documentation dit:

Les paramètres pour préparer les états n'ont pas besoin d'être cité; le pilote s'en occupe pour vous.

Qui est vraiment tout ce que je dois faire pour éviter les injections SQL? Est-ce vraiment si simple?

Vous pouvez supposer MySQL si cela fait une différence. Aussi, je suis seulement curieux au sujet de l'utilisation des requêtes préparées contre les injections SQL. Dans ce contexte, je ne se soucient pas de XSS ou d'autres vulnérabilités.

InformationsquelleAutor Mark Biek | 2008-09-25
  1. 750

    La réponse courte est PAS, PDO prépare ne sera pas vous protéger de toutes les attaques par Injection SQL. Pour certains obscur bord-cas.

    Je suis l'adaptation cette réponse parler de PDO...

    La longue réponse n'est pas si facile. Il est basé sur une attaque montré ici.

    L'Attaque

    Donc, nous allons commencer par montrer l'attaque...

    $pdo->query('SET NAMES gbk');
$var = "\xbf\x27 OR 1=1 /*";
$query = 'SELECT * FROM test WHERE name = ? LIMIT 1';
$stmt = $pdo->prepare($query);
$stmt->execute(array($var));

    Dans certaines circonstances, qui sera de retour de plus de 1 ligne. Nous allons disséquer ce qui se passe ici:

    1. De la sélection d'un Jeu de Caractères

      $pdo->query('SET NAMES gbk');

      Pour cette attaque fonctionne, nous avons besoin de l'encodage que le serveur attend la connexion à la fois pour encoder ' comme en ASCII, c'est à dire 0x27 et avoir certains caractères dont le dernier octet est un ASCII \ c'est à dire 0x5c. Comme il s'avère, il y a 5 de ces codages pris en charge dans MySQL 5.6 par défaut: big5, cp932, gb2312, gbk et sjis. Nous allons sélectionner gbk ici.

      Maintenant, il est très important de noter l'utilisation de SET NAMES ici. Cela définit le jeu de caractères SUR LE SERVEUR. Il y a une autre manière de faire, mais nous allons y arriver assez vite.

    2. La Charge Utile

      La charge utile que nous allons utiliser pour cette injection commence avec la séquence d'octets 0xbf27. Dans gbk, c'est une séquence de caractères; dans latin1, c'est la chaîne ¿'. Notez que dans latin1 et gbk, 0x27 sur son propre est un littéral ' caractère.

      Nous avons choisi cette charge utile car, si nous avons appelé addslashes() sur elle, nous aimerions insérer un fichier ASCII \ c'est à dire 0x5c, avant la ' caractère. Donc nous avions le vent avec 0xbf5c27, qui en gbk est un deux séquence de caractères: 0xbf5c suivie par 0x27. Ou en d'autres termes, un valide caractère, suivi par un sans échappement '. Mais nous ne sommes pas à l'aide de addslashes(). Donc à la prochaine étape...

    3. $stmt->execute()

      La chose importante à réaliser est ici que PDO par défaut ne PAS faire vrai déclarations préparées à l'avance. Il émule (pour MySQL). Par conséquent, PDO en interne construit la chaîne de requête, l'appelant mysql_real_escape_string() (MySQL C la fonction de l'API) sur chaque liés chaîne de valeur.

      L'API C appel à mysql_real_escape_string() diffère de addslashes() en ce qu'il sait de la connexion jeu de caractères. De sorte qu'il peut effectuer échapper correctement pour le jeu de caractères que le serveur attend. Toutefois, à ce stade, le client pense que nous sommes toujours à l'aide de latin1 pour le lien, parce que nous n'avons jamais dit le contraire. Nous avons dit que la serveur nous utilisons gbk, mais le client pense toujours que c'est latin1.

      Par conséquent, l'appel à mysql_real_escape_string() insère la barre oblique inverse, et nous avons un libre pendaison ' caractère de notre "échappé" contenu! En fait, si nous étions à regarder $var dans le gbk jeu de caractères, nous aimerions voir:

      縗' or 1=1 /*

      Qui est exactement ce que l'attaque nécessite.

    4. La Requête

      Cette partie n'est qu'une formalité, mais voici le rendu de la requête:

      SELECT * FROM test WHERE name = '縗' OR 1=1 /*' LIMIT 1

    Félicitations, vous venez de vous a attaqué avec succès un programme en utilisant PDO Préparées...

    La Solution Simple

    Maintenant, il est intéressant de noter que vous pouvez empêcher cela en désactivant émulé préparées:

    $pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

    Ce sera généralement entraîner une véritable déclaration préparée à l'avance (c'est à dire les données d'être envoyé dans un paquet distinct de la requête). Cependant, être conscient que PDO silencieusement de secours à l'émulation d'états que MySQL ne peut pas préparer de manière native: ceux qu'il peut sont répertorié dans le manuel, mais méfiez-vous de sélectionner la version du serveur).

    Le Corriger Corriger

    Le problème ici est que nous n'avons pas d'appel de l'API C de l' mysql_set_charset() au lieu de SET NAMES. Si nous le faisions, nous serions bien à condition que nous soyons à l'aide d'une base MySQL depuis 2006.

    Si vous utilisez une version antérieure de MySQL version, puis une bug dans mysql_real_escape_string() signifie que la séquence de caractères tels que ceux de notre charge utile ont été traités comme de simples octets pour échapper à des fins même si le client avait été correctement informé de la connexion de l'encodage et donc, cette attaque serait encore réussir. Le bug a été corrigé dans MySQL 4.1.20, 5.0.22 et 5.1.11.

    Mais le pire, c'est que PDO ne pas exposer l'API C pour mysql_set_charset() jusqu'à 5.3.6, de sorte que dans les versions antérieures, il ne peut pas empêcher cette attaque pour chaque commande!
    Il est maintenant exposé comme un Paramètre DSN, qui devrait être utilisé au lieu de SET NAMES...

    La Grâce Salvatrice

    Comme nous l'avons dit au début, pour que cette attaque de travail de la connexion de base de données doivent être codées à l'aide d'un vulnérables jeu de caractères. utf8mb4 est pas vulnérables et qui, pourtant, peuvent soutenir chaque caractère Unicode: alors vous pourriez choisir d'utiliser à la place—mais il a seulement été disponible depuis MySQL 5.5.3. Une alternative est utf8, qui est aussi pas vulnérables et peut prendre en charge l'ensemble de l'Unicode Plan Multilingue De Base.

    Alternativement, vous pouvez activer le NO_BACKSLASH_ESCAPES mode SQL, qui (entre autres choses) altère le fonctionnement de mysql_real_escape_string(). Avec ce mode activé, 0x27 sera remplacé par 0x2727 plutôt que 0x5c27 et ainsi échapper processus ne peut pas créer des caractères valides dans les vulnérables codages où ils n'existaient pas auparavant (c'est à dire 0xbf27 est encore 0xbf27 etc.)—donc le serveur sera toujours rejeter la chaîne comme non valide. Cependant, voir @eggyal réponse pour une vulnérabilité différente qui peuvent résulter de l'utilisation de ce mode SQL (mais pas avec PDO).

    Sûr Exemples

    Les exemples suivants sont en sécurité:

    mysql_query('SET NAMES utf8');
$var = mysql_real_escape_string("\xbf\x27 OR 1=1 /*");
mysql_query("SELECT * FROM test WHERE name = '$var' LIMIT 1");

    Parce que le serveur s'attend à utf8...

    mysql_set_charset('gbk');
$var = mysql_real_escape_string("\xbf\x27 OR 1=1 /*");
mysql_query("SELECT * FROM test WHERE name = '$var' LIMIT 1");

    Parce que nous avons correctement définir le jeu de caractères de sorte que le client et le serveur match.

    $pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$pdo->query('SET NAMES gbk');
$stmt = $pdo->prepare('SELECT * FROM test WHERE name = ? LIMIT 1');
$stmt->execute(array("\xbf\x27 OR 1=1 /*"));

    Parce que nous avons éteint émulé préparées.

    $pdo = new PDO('mysql:host=localhost;dbname=testdb;charset=gbk', $user, $password);
$stmt = $pdo->prepare('SELECT * FROM test WHERE name = ? LIMIT 1');
$stmt->execute(array("\xbf\x27 OR 1=1 /*"));

    Parce que nous avons définir le jeu de caractères correctement.

    $mysqli->query('SET NAMES gbk');
$stmt = $mysqli->prepare('SELECT * FROM test WHERE name = ? LIMIT 1');
$param = "\xbf\x27 OR 1=1 /*";
$stmt->bind_param('s', $param);
$stmt->execute();

    Parce que MySQLi n'est vrai déclarations préparées à l'avance tout le temps.

    L'Emballage Jusqu'À

    Si vous:

    • À utiliser les Versions de MySQL (fin 5.1, tous 5.5, 5.6, etc) ET AOP du paramètre charset du DSN (en PHP ≥ 5.3.6)

    OU

    • N'utilisez pas vulnérables jeu de caractères pour la connexion de l'encodage (vous ne l'utilisez utf8 /latin1 /ascii /etc)

    OU

    • Permettre NO_BACKSLASH_ESCAPES mode SQL

    Vous êtes sûr à 100%.

    Sinon, vous êtes vulnérable même si vous êtes en utilisant PDO Préparées...

    Additif

    J'ai été en train de travailler sur un patch pour modifier la valeur par défaut de ne pas imiter prépare pour une future version de PHP. Le problème que je suis en cours d'exécution en est que BEAUCOUP de tests de pause où je le fais. Un des problèmes est que émulé prépare fera que jeter des erreurs de syntaxe sur exécuter, mais c'est vrai prépare permettra de générer des erreurs sur les préparer. De sorte que peut provoquer des problèmes (et c'est la raison pour tests sont borking).

    • C'est la meilleure réponse que j'ai trouvé ..pouvez-vous fournir un lien pour plus de référence?
    • Je pense que "La Grâce Salvatrice" a ce MySQL 5.0.22 corrigé: dev.mysql.com/doc/relnotes/mysql/5.0/en/news-5-0-22.html
    • c'était un autre bug. Avant 5.0.22, mysql_real_escape_string ne serait pas de traiter correctement les cas où la connexion a été correctement configuré pour BIG5/GBK. Donc, en fait, même en l'appelant mysql_set_charset() sur mysql < 5.0.22 serait vulnérable à ce bug! Donc, non, ce post est toujours applicable à 5.0.22 (parce que mysql_real_escape_string est seulement charset de suite à des appels à partir de mysql_set_charset(), qui est ce que ce post parle de dérivation)...
    • Merci, c'est des trucs super. Une question pour moi, concernant le réglage de l'émulation à faux. Dois-je avoir que $pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); dans chaque requête, ou devrait-il être assez d'une fois dans un script? Merci.
    • Votre solution empêche également les attaques XSS?
    • Si c'est le cas ou pas, vous devriez toujours valider votre entrée sur le serveur avant de faire quoi que ce soit avec les données de l'utilisateur.
    • Je trouve que le simple fait de fixer PDO::ATTR_EMULATE_PREPARES = false peut causer chuté DB connexions lors de la préparation de requêtes SQL. Je n'ai pas identifié les circonstances exactes encore (il m'arrive lors de l'utilisation de beaucoup de jointures et de la sélection d'une coutume DB de la fonction), mais c'est quelque chose d'être conscient de quand à l'aide de cette option.
    • Depuis que je suis nouveau dans ce domaine ( ou un peu nouveau... ) quelqu'un peut m'expliquer comment vous définissez par exemple $pdo->query('SET NAMES gbk'); dans mon script? Si je suis à l'origine $pdo->query('SET NAMES utf8');?
    • Veuillez noter que NO_BACKSLASH_ESCAPES peuvent également présenter de nouvelles vulnérabilités : stackoverflow.com/a/23277864/1014813
    • Pouvez-vous préciser (et, si possible, ajouter une référence pour) votre commentaire "mais vrai prépare permettra de générer des erreurs sur les préparer" - vous voulez dire que même lorsque le SQL est en fait valable - ou seulement quand est-il invalide?
    • Un peu en retard à la fête, mais je ne suis pas un expert, je suis vraiment essayer d'apprendre de nouvelles choses et je ne peux pas obtenir comment et pourquoi SELECT * FROM test WHERE name = '縗' OR 1=1 /*' LIMIT 1 est une attaque réussie. Pour moi, il ressemble à qui est à la recherche de quelque chose qui n'est pas là. Le commentaire est l'attaque? Il laisse everyhting la pendaison? Vous pourriez peut-être ajouter quelques lignes pour expliquer cette partie, pour les noobs comme moi. Merci pour l'incroyable réponse.
    • "or 1=1" est un espace réservé pour tout ce que vous voulez. Oui, c'est la recherche d'une valeur dans le nom, mais imaginez que la "or 1=1" partie a "de l'UNION SELECT * from users". Vous avez maintenant le contrôle de la requête, et en tant que telle peut en abuser...
    • Désolé, toujours rien. Donc, la véritable attaque pourrait être SELECT * FROM test WHERE name = '縗' drop table admins /*' LIMIT 1 ? Ne devrait pas être quelque chose comme SELECT * FROM test WHERE name = 'a'; drop table admins; /*' LIMIT 1 ? Mettre des points-virgules après chaque déclaration et l'utilisation d'un simple personnage avec un \x27 à la fin? Je suis sûr que je suis absent quelque chose ici.
    • Je ne peux pas reproduire cette attaque à l'aide de PHP v7.2.0 avec réglage manuel de charset=latin1. Jeté erreur #42000, en indiquant ...near '/*' LIMIT 1' at line 1". Est-ce que ça doit être comme ça?
    • Merci pour le réponse, auriez-vous l'esprit un peu de lumière sur cette question stackoverflow.com/questions/52128507/...
    • Excelente très complet...!!

    InformationsquelleAutor ircmaxell
  2. 504

    Préparées /requêtes paramétrées sont généralement suffisantes pour empêcher 1er ordre injection que l'instruction*. Si vous utilisez de l'onu-vérifié sql dynamique de n'importe où ailleurs dans votre application, vous êtes toujours vulnérable à 2ème ordre injection.

    D'ordre 2 injection de données a été parcouru par le biais de la base de données une fois avant d'être inclus dans une requête, et est beaucoup plus difficile à enlever. Autant que je sache, vous avez failli ne jamais voir le réel conçu 2ème ordre d'attaques, car il est généralement plus facile pour les attaquants social-ingénieur à leur façon, mais vous avez parfois l'ordre 2 bugs surgissent en raison de l'extra bénigne ' caractères ou similaire.

    Vous pouvez accomplir une 2ème commande d'injection d'attaque lorsque vous pouvez provoquer une valeur à stocker dans une base de données qui est ensuite utilisée comme un littéral dans une requête. Comme un exemple, disons que vous entrez les informations suivantes à votre nouveau nom d'utilisateur lors de la création d'un compte sur un site web (en supposant DB MySQL pour cette question):

    ' + (SELECT UserName + '_' + Password FROM Users LIMIT 1) + '

    Si il n'y a pas d'autres restrictions sur le nom d'utilisateur, une déclaration préparée serait encore assurez-vous que ci-dessus incorporé requête n'est pas exécutée au moment de l'insertion, et de stocker la valeur correctement dans la base de données. Cependant, imaginez que, plus tard, l'application récupère votre nom d'utilisateur de la base de données, et utilise la concaténation de chaîne d'inclure cette valeur une nouvelle requête. Vous pouvez obtenir de voir quelqu'un d'autre mot de passe. Depuis les premiers noms dans la table des utilisateurs ont tendance à être admins, vous avez également peut-être juste donné la ferme. (À noter également: c'est une raison de plus de ne pas stocker les mots de passe en texte clair!)

    Nous voir, alors, que les instructions préparées sont assez pour une seule requête, mais par eux-mêmes, ils sont pas suffisante pour protéger contre les attaques par injection sql dans l'ensemble de l'application, car ils manquent d'un mécanisme pour assurer que tous les accès à une base de données dans l'application utilise le code sécurisé. Cependant, utilisé dans le cadre de la bonne conception de l'application — ce qui peut inclure des pratiques telles que la révision du code ou de l'analyse statique, ou l'utilisation d'un ORM, les données de la couche, ou couche de service que les limites de sql dynamique — préparées sont le principal outil pour résoudre le problème de l'Injection Sql. Si vous suivez la bonne application des principes de conception, tels que l'accès aux données est séparée du reste de votre programme, il devient facile de faire respecter ou de vérification que toutes les requêtes utilise correctement paramétrées. Dans ce cas, l'injection sql (premier et second ordre) est complètement empêché.

    *Il s'avère que MySql/PHP (bon d'accord, ont été) juste muette à propos de la manipulation de paramètres lors de la large personnages sont impliqués, et il y a encore un rare cas exposé dans le d'autres hautement voté réponse ici qui peuvent permettre l'injection de passer par une requête paramétrée.

    • C'est intéressant. Je n'étais pas au courant de 1er ordre vs 2ème ordre. Pouvez-vous élaborer un peu plus sur la façon de 2ème ordre de marche?
    • Si TOUTES vos requêtes paramétrées, vous êtes également protégé contre la 2ème commande d'injection. 1ère commande d'injection, c'est d'oublier que les données de l'utilisateur sont pas dignes de confiance. 2ème commande d'injection, c'est d'oublier que la base de données est indigne de confiance (parce que c'était de l'utilisateur à l'origine).
    • Grâce cjm. J'ai aussi trouvé cet article utile dans l'explication d'ordre 2 injections: codeproject.com/KB/database/SqlInjectionAttacks.aspx
    • Ah, oui. Mais qu'en est troisième ordre injection. Être conscient de ceux-ci.
    • Oui, sauf que PDO ne pas utiliser de vraies déclarations préparées par défaut ;-). Voir ma réponse ci-dessous pour une démonstration et explication d'une attaque...
    • que doit être l'endroit où le développeur est à la source de données peu fiables
    • Pense que vous verrez que la plupart sont en venant ici 😉 google.com.au/de la recherche?q=pdo+prêt+consolidés
    • Mais si vous utilisez 100% statique des déclarations préparées à l'ensemble de votre programme, je veux dire, tous les composants de SQL codé en dur dans les requêtes préparées, alors, vous évitez tous les niveaux de l'injection, droit?
    • Oui, vous le faites, mais vous êtes tout simplement en évitant les données du client.
    • Je n'étais pas au courant de l'ordre de truc. La lecture de ce que je pensais Qu'en 3ème et les 4ème et encore plus de la 5ème?? Et 6 doivent être mortel...
    • Joel fait un edit après mon commentaire sur le 8 Mars, mettant de l'avant une phrase de ce qu'il a déjà écrit. Il est clair que le post a le contenu qu'il entend. Je ne vais pas modifier quelqu'un post pour changer le sens de l'il, et les autres réponses déjà répondre à la question.
    • Je suis en désaccord avec vous. Le système est configuré de façon que l'on peut modifier everone posts, oui, mais il est de bon ton et à la règle de ne pas changer radicalement le sens d'origine.
    • Qui a fourni le "sens original" n'est pas faux. Si c'est faux, n'hésitez pas à le modifier pour le rendre droit.
    • Et aussi en 2ème commande d'injection de l'attaquant avoir à mettre les noms des tables et des colonnes qui apportent de la blind sql injection en... eh Bien,Ce que je fais est-ce que.. $username=strip_tags(mysqli_real_escape_string($con,$pseudo)); après la longueur de vérification.. et puis j'ai aussi l'utilisation reg exp de vérifier et en effet il par PDO
    • Ensuite, vous avez toutes sortes de problèmes. Si ces balises sont valables et doivent être stockés dans la DB? Pourquoi utiliser reg exp après real_escape? La saisie de l'utilisateur ne devrait pas atteindre DB epuration avant validation a passé. Pourquoi faites-vous mysqli_real_escape_string et puis AOP? Bien sûr, votre final AOP rend sécurisé si vous utilisez paramétrés états, mais tous les bits de (inutile) de "sécurité" que vous avez ajoutés sont plus susceptibles de présenter une faille de sécurité loin de la DB de la sécurité, ou à tout le moins cauchemar code qui est terrible de comprendre et de travailler avec.
    • Je ne veux pas permettre à l'utilisateur de mettre les tags en db et s'il vous plaît pouvez-vous me dire ce que signifie par "si ces balises sont valides...." et j'ai fait toutes ces choses en une fonction appelée valider que j'ai dans mon propre fichier de structure de site web que j'utilise pour faire mon code réactif et cool
    • ne pas valider la saisie... quarantaine il. C'est ce que les paramètres de la requête ne. Si vous êtes en essayant de le protéger de quelque chose d'autre que l'injection sql, vous avez besoin de regarder dans une autre place.

    InformationsquelleAutor Joel Coehoorn
  3. 40

    Non, ils ne le sont pas toujours.

    Cela dépend si vous autorisez la saisie de l'utilisateur pour être placée dans la requête elle-même. Par exemple:

    $dbh = new PDO("blahblah");

$tableToUse = $_GET['userTable'];

$stmt = $dbh->prepare('SELECT * FROM ' . $tableToUse . ' where username = :username');
$stmt->execute( array(':username' => $_REQUEST['username']) );

    serait vulnérable aux injections SQL et l'utilisation des requêtes préparées dans cet exemple ne fonctionnera pas, parce que l'entrée de l'utilisateur est utilisé comme identifiant, et non pas comme des données. Le droit de réponse ici serait d'utiliser une sorte de filtrage et de validation comme:

    $dbh = new PDO("blahblah");

$tableToUse = $_GET['userTable'];
$allowedTables = array('users','admins','moderators');
if (!in_array($tableToUse,$allowedTables))    
 $tableToUse = 'users';

$stmt = $dbh->prepare('SELECT * FROM ' . $tableToUse . ' where username = :username');
$stmt->execute( array(':username' => $_REQUEST['username']) );

    Remarque: vous ne pouvez pas utiliser PDO pour lier les données qui se passe à l'extérieur de DDL (Data Definition Language), c'est à dire ce qui ne fonctionne pas:

    $stmt = $dbh->prepare('SELECT * FROM foo ORDER BY :userSuppliedData');

    La raison pour laquelle le ci-dessus ne fonctionne pas parce que DESC et ASC ne sont pas données. AOP ne peut échapper pour données. Deuxièmement, vous ne pouvez même pas mettre ' des guillemets autour d'elle. La seule façon de permettre à l'utilisateur choisi le tri est de filtrer manuellement et vérifier qu'il soit DESC ou ASC.

    • Ai-je raté quelque chose ici, mais n'est-ce pas le point de l'ensemble des déclarations préparées à l'avance pour éviter de traiter sql comme une chaîne de caractères? Ne serait pas quelque chose comme $dbh->prepare('SELECT * from :tableToUse where username = nom d'utilisateur'); obtenir autour de votre problème?
    • oui, il vous manque :). Les données que vous lier fonctionne uniquement pour les DDL (Data Definition Language). Vous avez besoin de ces devis et bon de s'échapper. Placer des devis pour d'autres parties de la requête rompt avec une forte probabilité. Par exemple, SELECT * FROM 'table' peut-être tort, comme il se doit SELECT * FROM `table` ou sans backsticks. Puis certaines choses comme ORDER BY DESCDESC vient de l'utilisateur ne peut pas être tout simplement échappé. Donc, en pratique, les scénarios sont plutôt illimité.
    • Je me demande comment 6 personnes pourraient upvote un commentaire proposant une clairement de la mauvaise utilisation d'une requête préparée. Ils avaient même essayé une fois, ils ont découvert tout de suite que l'utilisation d'un paramètre nommé à la place d'un nom de table ne fonctionnera pas.
    • Voici un excellent tuto sur PDO si vous voulez l'apprendre. a2znotes.blogspot.in/2014/09/introduction-to-pdo.html
    • Vous ne devez jamais utiliser une chaîne de requête/corps POST de choisir la table à utiliser. Si vous n'avez pas de modèles, à moins d'utiliser un switch pour dériver le nom de la table.
    • si vous avez besoin pour sélectionner le nom de la table de manière dynamique, il y a toujours d'autres outils comme sprintf. Juste à construire un modèle de déclaration de là, et ensuite seulement de préparer le modèle généré déclaration.
    • Je sais que cela date de longtemps, mais oui en effet, il vous manque quelque chose 🙂 cela ne fonctionnerait pas (vous pourriez également avoir essayé). La préparation d'une déclaration signifie que le moteur de base de données de plan de requêtes. Pour ce faire, il a besoin de savoir tables sera utilisé, les colonnes qui seront sélectionnés, et ainsi de suite. Vous ne pouvez pas paramétrer un nom de table, il ne fait pas de sens.

    InformationsquelleAutor Tower
  4. 26

    Oui, c'est suffisant. Le chemin des attaques de type injection de travail, est en quelque sorte d'obtenir les services d'un interprète (base de données) afin d'évaluer quelque chose, qui aurait été données, comme si c'était du code. Cela n'est possible que si vous mélangez le code et les données dans le même format (par exemple. lorsque vous construisez une requête comme une chaîne de caractères).

    De paramétrer des requêtes en envoyant le code et les données séparément, de sorte qu'il serait jamais être possible de trouver un trou.

    Vous pouvez toujours être vulnérables à d'autres d'injection attaques de type si. Par exemple, si vous utilisez les données dans une page HTML, vous pourriez être assujetti à des attaques de type XSS.

    • "Jamais" est question exagéré, au point d'être trompeuse. Si vous utilisez les instructions préparées de manière incorrecte, il n'est pas beaucoup mieux que de ne pas les utiliser du tout. (Bien sûr, une "déclaration" qui a eu la saisie de l'utilisateur injecté dans il défait le but...mais en fait, j'ai vu faire. Et les requêtes préparées ne peut pas gérer les identificateurs (noms de table, etc) en tant que paramètres.) Ajoutez à cela, quelques-uns des drivers PDO émuler déclarations préparées à l'avance, et il y a de la place pour eux de le faire de manière incorrecte (par exemple, par des demi-assedly de l'analyse du SQL). Version courte: ne supposez jamais que c'est facile.
    InformationsquelleAutor troelskn
  5. 25

    Non ce n'est pas assez (dans certains cas)! Par défaut PDO utilise des émules préparées lors de l'utilisation de MySQL en tant que pilote de base de données. Vous devez toujours désactiver émulé préparées lors de l'utilisation de MySQL et PDO:

    $dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

    Une autre chose qui doit toujours être le fait de définir l'encodage correct de la base de données:

    $dbh = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass');

    Voir aussi cette question: Comment puis-je prévenir l'injection SQL en PHP?

    Également noter que c'est seulement sur la base de données côté des choses que vous auriez encore à vous regarder lors de l'affichage des données. E. g. en utilisant htmlspecialchars() à nouveau avec le bon encodage et citant style.

    InformationsquelleAutor PeeHaa
  6. 10

    Personnellement, je serais toujours exécuter une certaine forme de l'assainissement sur les données, car vous ne pouvez jamais faire confiance la saisie de l'utilisateur, cependant lors de l'utilisation des espaces réservés /paramètre de liaison de la saisie de données est envoyé au serveur séparément à l'instruction sql et ensuite lier ensemble. La clé ici est que cette lie les données fournies à un type spécifique et une utilisation spécifique et élimine toute possibilité de changer la logique de l'instruction SQL.

    InformationsquelleAutor JimmyJ
  7. -1

    Eaven si vous allez à prévenir l'injection sql front-end, à l'aide de html ou js contrôles, vous devez considérer que, avant la fin des vérifications sont "insertions by-passables".

    Vous pouvez désactiver le js ou modifier un modèle avec une avant la fin de l'outil de développement (construit en avec firefox ou chrome, de nos jours).

    Afin de prévenir l'injection SQL, serait en droit de vérifier les entrées de date backend à l'intérieur de votre contrôleur.

    Je voudrais vous suggérer d'utiliser filter_input() PHP natif de la fonction, afin de désinfecter les OBTENIR et les valeurs d'ENTRÉE.

    Si vous voulez aller de l'avant avec la sécurité, pour mieux requêtes de base de données, j'aimerais vous proposer d'utiliser une expression régulière pour valider le format de données.
    preg_match() vous aideront dans ce cas!
    Mais prenez soin de vous! Moteur d'expressions régulières n'est pas si léger. L'utiliser uniquement si nécessaire, faute de quoi votre demande performances vont diminuer.

    La sécurité a un coût, mais ne perdez pas votre performance!

    Exemple facile:

    si vous voulez vérifier si une valeur, il a reçu de OBTENEZ est un nombre, moins de 99
    if(!preg_match('/[0-9]{1,2}/')){...}
    est heavyer de 

    if (isset($value) && intval($value)) <99) {...}

    Donc, la réponse finale est: "Non! AOP Préparées ne pas empêcher tout type d'injection sql"; Elle n'empêche pas des valeurs inattendues, juste inattendu concaténation

    • Vous confondez l'injection SQL avec quelque chose d'autre, ce qui rend votre réponse complètement hors de propos
    InformationsquelleAutor snipershady