1. alxfro - 30 Августа, 2012 - 17:09:44 - перейти к сообщению
Стоит ли использовать PDO PHP >5.X для устранения sql инжектов как таковых или сам по себе PDO не является панацеей от этой заразы?
2. EuGen - 30 Августа, 2012 - 17:19:36 - перейти к сообщению
Панацеей от любой проблемы является, как это ни банально - знание.
PDO предоставляет более удобное API для построения архитектуры, защищенной от injection. Но и этим можно распорядиться неразумно.
Из личного опыта - почти всегда использую драйвер PDO как наиболее легко масштабируемый под разные нужды (в том числе в приложениях, где сама СУБД может меняться).
PDO предоставляет более удобное API для построения архитектуры, защищенной от injection. Но и этим можно распорядиться неразумно.
Из личного опыта - почти всегда использую драйвер PDO как наиболее легко масштабируемый под разные нужды (в том числе в приложениях, где сама СУБД может меняться).
3. alxfro - 30 Августа, 2012 - 17:53:17 - перейти к сообщению
EuGen пишет:
PDO предоставляет более удобное API для построения архитектуры, защищенной от injection
Чем конкретно PDO защищает от инжектов? Он фильтрует (экранирует) данные? Или как?
Про более удобный API для работы с базой понятно. Интересует его безопасность из коробки.
4. caballero - 30 Августа, 2012 - 18:13:27 - перейти к сообщению
проверяй входящие параметры страницы на is_numeric и будет тебе беопасность
5. Мелкий - 30 Августа, 2012 - 18:40:41 - перейти к сообщению
alxfro пишет:
Про более удобный API для работы с базой понятно.
EuGen пишет:
удобное API для построения архитектуры, защищенной от injection.
Про api работы с базой ничего не сказано. Сказано, что его api удобнее для защиты.
alxfro пишет:
Чем конкретно PDO защищает от инжектов?
Абсолютно ничем, если этим не пользоваться.
Если пользоваться - prepared statement.