Czy takie łączenie z bazą obroni przed sql injection?

Question

Łączenie z bazą:

<?php

    $db_config = array(

        'host' => 'localhost',

        'port' => '3306',

        'user' => 'root',

        'pass' => '',

        'db' => 'baza',

        'db_type' => 'mysql',

        'encoding' => 'utf-8'

    );

    try {  

        $dsn = $db_config['db_type'] . ':host=' . $db_config['host'] . ';port=' . $db_config['port'] . ';encoding=' . $db_config['encoding'] . ';dbname=' . $db_config['db'];

        $user = $db_config['user'];

        $pass = $db_config['pass'];

        $options = array(PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION);

        $conn = new PDO($dsn, $user,  $pass, $options);

    } catch(PDOException $e) {

        die('Nie można połączyć z bazą danych: ' . $e->getMessage().'</br></br>'); 

    }

 

Wstawianie wartości:

$result = $conn->prepare('SELECT * FROM tabelka WHERE login = :login');
$result->bindParam(':login', $login, PDO::PARAM_STR);
$result->execute();

 

Pozdrawiam!

Answer 1

Prawie, bo PDO ma jeszcze coś takiego jak "emulowanie prepared statements", które warto wyłączyć → https://stackoverflow.com/a/60496/9025529

Comments

Konkretnie o tą linijkę Ci chodzi? I tylko ona wystarczy?

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

 

---

Tak, to wymusi natywne prepared statements, po stronie bazy danych. A te na chwilę obecną są najlepszą ochroną przeciwko SQLi.

---

Ok, bardzo dziękuję.

Answer 2

Stosowanie PDO - wystarcza w zupełności, aby uniknąć SQL injection. 
W tym przypadku i tak, zapytanie jest jest zbytnio modyfikowalne, więc tutaj na tym poziomie nie ma o tym mowy.

Dodatkowo MySQLi - nie można wykonywać np kwerend kilku na raz kaskadowo więc wymuszenia też nie będzie 

 

Jeśli łączysz się z bazą danych inną niż MySQL, istnieje druga opcja specyficzna dla sterownika, do której możesz się odwołać (na przykład pg_prepare () i pg_execute () dla PostgreSQL). PDO to opcja uniwersalna.

Comments

Dziękuję za odpowiedź.