CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg

Log ind eller opret profil

Du kan også logge ind via nedenstående tjenester

shjorth Nybegynder

01. oktober 2012 - 21:56 Der er 8 kommentarer og
1 løsning

PDO MySQL Injections

Hejsa.

Jeg er igang med at lære at bruge PDO fremfor mysql_query...

I gamle dage ville jeg have benyttet mig af

$data = mysql_real_escape_string($_POST['data']);
mysql_query...

Men hvilken metode bør man benytte sig af når det nu hedder PDO, er der en lign. funktion ?

Takker

Synes godt om

arne_v Ekspert

01. oktober 2012 - 22:29 #1

prepare

http://www.php.net/manual/en/pdo.prepare.php

Synes godt om

olebole Juniormester

03. oktober 2012 - 14:08 #2

<ole>

Hvorfor var Arnes svar ikke interessant?

/mvh
</bole>

Synes godt om

shjorth Nybegynder

03. oktober 2012 - 14:41 #3

Det er det også jeg er bare forvirret.
#1 Ligger du et svar ?

Jeg fandt også funktionen quote(), som ligeledes burde kunne forhindre injections.
Er der nogen grund til at bruge det ene frem for det andet ?

Synes godt om

arne_v Ekspert

03. oktober 2012 - 14:55 #4

http://php.net/manual/en/pdo.quote.php

PDO::quote() places quotes around the input string (if required) and escapes special characters within the input string, using a quoting style appropriate to the underlying driver.

If you are using this function to build SQL statements, you are strongly recommended to use PDO::prepare() to prepare SQL statements with bound parameters instead of using PDO::quote() to interpolate user input into an SQL statement. Prepared statements with bound parameters are not only more portable, more convenient, immune to SQL injection, but are often much faster to execute than interpolated queries, as both the server and client side can cache a compiled form of the query.

Not all PDO drivers implement this method (notably PDO_ODBC). Consider using prepared statements instead.

Synes godt om

olebole Juniormester

03. oktober 2012 - 14:56 #5

Ja, du skal bruge prepare, fordi det sikrer dig mod SQL-injections.

Quote og mysql_real_escape_string er dårlige hacks, som kan bruges til at lappe på dynamisk genererede SQL-kommandoer - men dynamisk genererede SQL-kommandoer er noget, Fanden har skabt ... på en premenstruel, umådelig 'bad hair day'!

Synes godt om

arne_v Ekspert

03. oktober 2012 - 14:56 #6

svar

Synes godt om

shjorth Nybegynder

03. oktober 2012 - 15:34 #7

Takker mange gange.

Grunden til jeg ville foretrække quote var at det ser ud til at være noget nemmere. Min simple hjerne har lidt svært ved at forstå prepare metoden :)

Synes godt om

olebole Juniormester

03. oktober 2012 - 15:59 #8

Prepare er den eneste vej frem, og det er ikke så svært endda =)

Prøv at kikke på denne kode fra [url=http://dk.php.net/manual/en/pdo.prepare.php]php.net[/div]:

<?php
/* Execute a prepared statement by passing an array of values */
$sth = $dbh->prepare('SELECT name, colour, calories
FROM fruit
WHERE calories < ? AND colour = ?');
$sth->execute(array(150, 'red'));
$red = $sth->fetchAll();

$sth->execute(array(175, 'yellow'));
$yellow = $sth->fetchAll();
?>

Forestil dig, at linjen:

$sth = $dbh->prepare('SELECT name, colour, calories
FROM fruit
WHERE calories < ? AND colour = ?');

- opretter et objekt $sth nede på databasen. Dette objekt får automatisk en metode execute, som kalder dit SELECT-statement, hvergang den kaldes med nye argumenter.

Ved alm. MySQL dannes en funktion udfra en streng, der er sammensat af stumper - dels skrevet af udvikleren, og dels indsat af brugeren (via $_POST eller $_GET) - hvergang databasen kaldes.

Ved PDO's eller MySQLI's prepare dannes en funktion på baggrund af en streng skrevet af udvikleren. Der hvor der skal indgå dynamiske parametre, udskiftes disse med en placeholder: '?'.

Efterfølgende kan denne funktion kaldes mange gange med forskellige argumenter - f.eks. stammende fra brugerinput - med execute. Fuldstændig som du kalder enhver PHP-funktion.

I eksemplet kaldes funktionen to gange - først med 150 og 'red' som argumenter. Anden gang med 175 og 'yellow' som argumenter.

Det gør, at brugerinput ikke bliver 'fedtet' ind i selve funktions body'en (dens 'indre'), men kun bliver brugt som argumenter i et funktionskald. Derfor er det ikke nødvendigt at escape brugerinputtet.

Det gør samtidig gentagne kald med samme SQL (og forskellige argumenter) langt hurtigere.

Håber, det hjalp på forståelsen =)

Synes godt om

olebole Juniormester

03. oktober 2012 - 16:06 #9

Når du har fået forståelsen af, hvad det er, der sker, bør du gå videre til at binde dine parametre, bl.a. for at sikre, at argumenterne har den ønskede type.

Synes godt om

Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Følg dette spørgsmål

Opret Preview

Flere spørgsmål fra PHP kategorien

Titel	Indlæg	Oprettet	Seneste aktivitet
Hent array key Af nemlig i PHP	3	17/05/202415:22	17/05/202416:30
iCal-feed og import til google kalender driller Af nemlig i PHP	11	09/05/202417:49	10/05/202421:28
Adgang til vandaflæsningsdata Af nemlig i PHP	4	22/04/202422:04	30/04/202421:08
Vælg post rækkefølge Af Mojo_dk i PHP	3	06/04/202418:40	07/04/202412:20
Hjælp til PHP Af Friis77 i PHP	5	11/02/202419:58	12/02/202407:55

Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten

Seneste artiklerRSS