PDO a ochrona przed mysql injection

pytanie zadane 9 października 2019 w PHP przez Paproch Użytkownik (700 p.)

Witam

Zastanawiam się nad zabezpieczeniami skryptu. Wszystkie zapytania do bazy ma zrobione na PDO. Przy rejestrowaniu użytkownika i logowaniu użyłem wyrażeń regularnych w celu wycięcia ewentualnych niebezpiecznych znaków. Dozwolone są tko [a-z] [0-9]

Dodatkowo mam formularz kontaktowy, gdzie można wpisać dowolny tekst bez żadnych ograniczeń. Dane są zapisywane w bazie. Tutaj również użyłem PDO i zrobiłem to schematem prepare, bindvalue, execute.

Pytanie brzmi, czy same PDO zabezpieczy mnie w pełni przed mysql injection? Bo niby teoretycznie zabezpiecza, a jak jest w praktyce? Lub w jaki sposób mógłbym jeszcze zabezpieczyć sie przed ewentualnymi atakami?

Czy użycie wyrażenia regularnego które wycinalo by znaki tj. = - ' " *% jest dobrym pomysłem?

Pozdrawiam

1	komentarz 9 października 2019 przez Patrycjerz Mędrzec (192,320 p.) Pytam z ciekawości… Jeśli samo PDO chroni przed SQL injection, to po co jeszcze ograniczony zakres znaków (nie spowodowany logiką biznesową)?

komentarz 9 października 2019 przez Paproch Użytkownik (700 p.)

komentarz 9 października 2019 przez adrian17 Ekspert (344,860 p.)

To... brzmi jak celowe zmniejszenie bezpieczeństwa.

komentarz 9 października 2019 przez Paproch Użytkownik (700 p.)

A coś więcej? Dlaczego tak sądzisz? Cały czas się uczę, więc uzasadnij proszę.

1	komentarz 9 października 2019 przez Comandeer Guru (600,810 p.) @adrian17, restrykcja dotyczy loginu. Ufam, że hasła nie mają takich obostrzeń.

komentarz 9 października 2019 przez Aisekai Nałogowiec (42,190 p.)

A nie możesz użyć jakiegoś ORMa który by nie sklejał dynamicznie zapytania, tylko używał jakiś named parameters lub coś w ten deseń?

komentarz 9 października 2019 przez adrian17 Ekspert (344,860 p.)

To... jest właśnie PDO. To już jest zabezpieczone.

komentarz 9 października 2019 przez Paproch Użytkownik (700 p.)

@adrian17 o to mi chodziło. Wiem że PDO jest bezpieczne, ale się zastanawiałem jakie są powszechnie stosowane praktyki wśród programistów. Czy stosuje się coś jeszcze, jak tak to co.

Dzięki tak czy inaczej za odpowiedź

1 odpowiedź

odpowiedź 9 października 2019 przez Comandeer Guru (600,810 p.)
wybrane 9 października 2019 przez Paproch

Najlepsza

Warto dorzucić: https://stackoverflow.com/questions/60174/how-can-i-prevent-sql-injection-in-php/60496#60496

No i warto też przypomnieć, że prepared statements wypada używać zawsze, gdy w zapytaniu są jakiekolwiek dane z zewnątrz, nawet te, które wyciągnęliśmy właśnie z bazy. Inaczej narażamy się na 2nd order SQLi.