• Najnowsze pytania
  • Bez odpowiedzi
  • Zadaj pytanie
  • Kategorie
  • Tagi
  • Zdobyte punkty
  • Ekipa ninja
  • IRC
  • FAQ
  • Regulamin
  • Książki warte uwagi

Sanityzacja inputa PDO

VPS Starter Arubacloud
0 głosów
644 wizyt
pytanie zadane 8 października 2018 w PHP przez RobertBaj Użytkownik (810 p.)
Czy przed wysłaniem danych logowania do bazy danych przy użyciu funkcji prepare i execute w PDO wymagana jest wcześniejsza sanityzacja wprowadzonych danych przez użytkownika? Wiem że funkcje te zapewniają odporność na SQLinjection ale czy aby napewno to wystarcza?

1 odpowiedź

0 głosów
odpowiedź 8 października 2018 przez OdsetekGlupoty Pasjonat (15,360 p.)

Witam,

Teoretycznie prepare jest wystarczające. Jednak jeśli masz możliwość dodatkowej filtracji danych, to lepiej zabezpieczyć się bardziej. Możesz użyć htmlspecialchars() albo htmlentities(), sprawdzić czy użyto jakichś nieodpowiednich znaków itd.

Do tego warto dodać jakieś atrybuty PDO np. ATTR_EMULATE_PREPARES ustawić na false.

Wtedy będziesz miał pewność, że Twoja strona odporna jest na atak SQL Injection.

komentarz 8 października 2018 przez RobertBaj Użytkownik (810 p.)
Dzięki takiej odpowiedzi potrzebowałem.
1
komentarz 8 października 2018 przez Comandeer Guru (604,880 p.)
Prepared statements same w sobie zabezpieczają przed SQLi i traktowanie danych innymi metodami przed zapisem jest całkowicie niepotrzebne. Takie rzeczy powinno się robić przy wyświetlaniu danych.

Podobne pytania

–1 głos
2 odpowiedzi 682 wizyt
pytanie zadane 14 kwietnia 2016 w PHP przez Mariusz O Mądrala (5,290 p.)
+2 głosów
0 odpowiedzi 607 wizyt
0 głosów
2 odpowiedzi 525 wizyt

93,008 zapytań

141,975 odpowiedzi

321,256 komentarzy

62,350 pasjonatów

Motyw:

Akcja Pajacyk

Pajacyk od wielu lat dożywia dzieci. Pomóż klikając w zielony brzuszek na stronie. Dziękujemy! ♡

Oto polecana książka warta uwagi.
Pełną listę książek znajdziesz tutaj

Wprowadzenie do ITsec, tom 2

Można już zamawiać tom 2 książki "Wprowadzenie do bezpieczeństwa IT" - będzie to około 650 stron wiedzy o ITsec (17 rozdziałów, 14 autorów, kolorowy druk).

Planowana premiera: 30.09.2024, zaś planowana wysyłka nastąpi w drugim tygodniu października 2024.

Warto preorderować, tym bardziej, iż mamy dla Was kod: pasja (użyjcie go w koszyku), dzięki któremu uzyskamy dodatkowe 15% zniżki! Dziękujemy zaprzyjaźnionej ekipie Sekuraka za kod dla naszej Społeczności!

...