PDO 보안 복제를위한 MySQL 및 PHP 픽스

Question

PDO를 사용하면 SQL 인젝션이 사실상 불가능하다는 것을 알고 있습니다. 그러나 현재 웹 사이트의 모든 데이터베이스 관련 코드를 변경할 시간이 없습니다. (특히 PDO가 새로 나온 이래로 학습 곡선이 복잡해졌습니다.) 그래서 나는 mysql/php 함수가 PDO가하는 것과 동일한 보안을 줄 수 있는지 알고 싶다.

이 두 항목으로 충분합니까? 반드시 모든 $ _GET과 $ _POST 데이터를 만들기

는

1. (단지 숫자해야한다 등의 제품 ID와 같은, 그래서 is_numeric를 사용할 수 있습니다) 예상되는 유형입니다. 을 사용하십시오.

아니면 내가해야 할 일이 있습니까? 웹 사이트가있는 방식은 쿼리 문자열에 id=x을 기반으로하므로 데이터베이스에 갈 수 있습니다. 그리고 해킹 후에 데이터베이스에서 쿼리 문자열을 통해 데이터베이스로 이동할 수있는 모든 것이 cd etc/pwd과 같은 값으로 손상되었습니다.

Answer 1

짧은 버전 : mysql 확장에서 mysqli extension으로 이동하고 매개 변수를 사용하는 쿼리를 준비된 문 (here is a quickstart guide)으로 바꿉니다.

하지만 장기적으로 지금 PDO를 배우는 데는 오래 걸리지 않을 것이므로 은 노력할 가치가있는입니다. 보조 노트로

:

내가 사용 PDO가 SQL 인젝션은 사실상 불가능하게 이해합니다.

사실이 아니므로 주사 가능한 쿼리를 PDO에 쓸 수 있습니다. 그것은 기존의 MySQL의 확장에서와 같이 PDO에서이 코드는 나쁜 (여기 하나의 가격에 두 가지 취약점 벡터!) :

$pdo_obj->query("SELECT password FROM users WHERE id = '".$_GET['id']."'"); 

PDO는 자신을 보호하고 사용하기 쉽도록 할 수있는 도구를 제공합니다. 항상 입력 내용의 유효성을 검사하고 필터링해야합니다. 그러나 준비된 문장을 사용하면 데이터베이스가 매개 변수가되어야 할 내용과 쿼리의 일부가 될 내용을 알 수 있습니다.