PDO zabezpieczenia

Question

Witam , mam takie pyatnie:

Czy jeśli korzystam z PDO i np robię zapytanie do bazy przez formularz to czy muszę jeszcze jakąś filtrować dane z $_POST? słyszałem że PDO samo w sobie już binduję dane..używam takiego kodu:

$sql = "SELECT * FROM users WHERE login = :login";
        $stmt = $this->DB->pdo->prepare( $sql);
        $stmt->bindParam(':login',$login, PDO::PARAM_STR);
        $stmt->execute();
        $user = $stmt->fetch(PDO::FETCH_OBJ);

czy muszę jeszcze jakoś przepuszczać dane z POST/GET zanim trafią do zapytania w $sql ?

jak wy dbacie o bezpieczeństwo swoich stron?

Answer 1

Jest w porządku, dzięki bindowaniu cokolwiek by tam nie było, to nie zaszkodzi to bazie danych. Pozostaje tylko kwestia tego, co się powinno tam znaleźć w sensie Twojego pomysłu, logiki i projektu aplikacji. Dla przykładu jeśli login może zawierać tylko określone znaki to można dodać walidację. Albo gdy zapisujesz coś do bazy a później wprost wyświetlasz na stronie, to wypadałoby usunąć/unieszkodliwić ewentualne tagi HTML/kod JS (aby ktoś nie dopisał tam czegoś co się wykona i może zaszkodzić stronie).

Comments

jakiś przykład jak zastosować zabezpiecznie?

---

Jakie zabezpieczenie? Przed dodaniem kodu HTML? Najprościej: funkcja strip_tags(), która usunie tagi HTML lub htmlentities(), która zamieni je na encje, przez co przeglądarka nie wykona a tylko wyświetli kod.

---

dzięki:)