Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737
Форумы портала PHP.SU :: PHP Data Objects

 PHP.SU

 Программирование на PHP, MySQL и другие веб-технологии
PHP.SU Портал     На главную страницу форума Главная     Помощь Помощь     Поиск Поиск     Поиск Яндекс Поиск Яндекс     Вакансии  Пользователи Пользователи


 Страниц (1): [1]   

> Описание: Вот такой вопрос
Поиск в теме | Версия для печати
alxfro
Отправлено: 30 Августа, 2012 - 17:09:44
Post Id



Частый гость


Покинул форум
Сообщений всего: 208
Дата рег-ции: Июль 2011  


Помог: 0 раз(а)
Стоит ли использовать PDO PHP >5.X для устранения sql инжектов как таковых или сам по себе PDO не является панацеей от этой заразы?
 
 Top
EuGen Администратор
Отправлено: 30 Августа, 2012 - 17:19:36
Post Id


Профессионал


Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007  
Откуда: Berlin


Помог: 707 раз(а)
Панацеей от любой проблемы является, как это ни банально - знание.
PDO предоставляет более удобное API для построения архитектуры, защищенной от injection. Но и этим можно распорядиться неразумно.
Из личного опыта - почти всегда использую драйвер PDO как наиболее легко масштабируемый под разные нужды (в том числе в приложениях, где сама СУБД может меняться).


-----
Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.
 
 Top
alxfro
Отправлено: 30 Августа, 2012 - 17:53:17
Post Id



Частый гость


Покинул форум
Сообщений всего: 208
Дата рег-ции: Июль 2011  


Помог: 0 раз(а)
EuGen пишет:
PDO предоставляет более удобное API для построения архитектуры, защищенной от injection


Чем конкретно PDO защищает от инжектов? Он фильтрует (экранирует) данные? Или как?

Про более удобный API для работы с базой понятно. Интересует его безопасность из коробки.
 
 Top
caballero
Отправлено: 30 Августа, 2012 - 18:13:27
Post Id


Активный участник


Покинул форум
Сообщений всего: 5998
Дата рег-ции: Сент. 2011  
Откуда: Харьков


Помог: 126 раз(а)
проверяй входящие параметры страницы на is_numeric и будет тебе беопасность


-----
Бесплатная система складского учета с открытым кодом https://zippy[dot]com[dot]ua/zstore
 
 Top
Мелкий Супермодератор
Отправлено: 30 Августа, 2012 - 18:40:41
Post Id



Активный участник


Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009  
Откуда: Россия, Санкт-Петербург


Помог: 618 раз(а)
alxfro пишет:
Про более удобный API для работы с базой понятно.

EuGen пишет:
удобное API для построения архитектуры, защищенной от injection.

Про api работы с базой ничего не сказано. Сказано, что его api удобнее для защиты.

alxfro пишет:
Чем конкретно PDO защищает от инжектов?

Абсолютно ничем, если этим не пользоваться.
Если пользоваться - prepared statement.


-----
PostgreSQL DBA
 
 Top
Поиск в теме | Версия для печати
Страниц (1): [1]
Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)
« Вопросы новичков »


Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.
  



Powered by PHP  Powered By MySQL  Powered by Nginx  Valid CSS  RSS

 
Powered by ExBB FM 1.0 RC1. InvisionExBB