Wątek: PDO bezpieczeństwo

Witam,

Czy jeśli użyję coś takiego

Kod php:

$user = $pdo -> prepare('INSERT INTO `user` (`login`, `pass`, `email`)   VALUES(:login, :pass, :email)');

$user -> bindValue(':login', $_POST['login'], PDO::PARAM_STR); 


to czy używanie przed tym jakiś funkcji takich jak:htmlspecialchars() strip_tags() ma sens?? bo pisza ze PDO jest bezpieczne na sql-inject.

sql-inj polega na przechwyceniu calego zapytania w taki sposob ze zmieniamy jego strukture wprowadzajac nowy warunek lub go zmieniajac. htmlspecialchars() sluzy miedzy innymi do blokowania atakow typu XSS bo do sql-inj nie pomoze.

Zamieszczone przez karer

sql-inj polega na przechwyceniu calego zapytania w taki sposob ze zmieniamy jego strukture wprowadzajac nowy warunek lub go zmieniajac. htmlspecialchars() sluzy miedzy innymi do blokowania atakow typu XSS bo do sql-inj nie pomoze.

a podpinanie parametrów pomoże??

Tylko vs sql-inj. Vs xss itp (js-owe czy html-owe) ataki już nie...

A z kolei karer gada głupoty jak poparzony... SQL Injection polega na wstrzyknięciu kodu który modyfikuje zapytanie SQL tak jak chce tego atakujący. PDO podczas podpinania parametrów samo zadba o wyeskejpowanie danych.

Przeciez napisalem ze chodzi o przechwycenie zapytania poprzez zmodyfikowanie go. Jesli bylbys laskaw wskazac mi moj blad to bym sie ugial ale jak na razie czepiles sie mojej definicji ktora nie koliduje wcale z twoja :/

Zanim zaczniesz negowac to pomysl co chcesz negowac.

A jeśli chodzi o główne pytanie:
to tak, bindParam bindValue w sposób wystarczający chronią Twoje zapytanie przed sqj-inj.
Najwygodniejsze jest to, że w razie potrzeby otaczają także wartości średnikami.

Tylko niestety bindParam i bindValue nie działają na nazwy kolumn.

Czyli czasem przydatne zapytanie typu

Kod php:

$query = $db -> prepare('SELECT * FROM `tabela` WHERE :kolumna=:dane');
$query -> bindParam(':kolumna', ..., ...); 


Zwróci błąd. W takich przypadkach niestety PDO:repare średnio zdaje egzamin. Ale można to rozwiązać własną funkcją.