16
¿Necesito usar mysql_real_escape_string() en mi entrada (como $_POST y $_GET) cuando uso la biblioteca PDO?¿Cómo desinfecta la entrada con PDO?
¿Cómo escapo correctamente la entrada del usuario con PDO?
A
Respuesta
27
Si usa PDO puede parametrizar sus consultas, eliminando la necesidad de evitar cualquier variable incluida.
Consulte here para obtener un excelente tutorial introductorio para PDO.
Usando PDO puede separar el SQL y los parámetros pasados usando declaraciones preparadas, esto elimina la necesidad de escanear cadenas, ya que los dos se mantienen por separado y luego combinados en la ejecución, los parámetros se manejan automáticamente como picaduras, de la fuente anterior :
// where $dbh is your PDO connection
$stmt = $dbh->prepare("SELECT * FROM animals WHERE animal_id = :animal_id AND animal_name = :animal_name");
/*** bind the paramaters ***/
$stmt->bindParam(':animal_id', $animal_id, PDO::PARAM_INT);
$stmt->bindParam(':animal_name', $animal_name, PDO::PARAM_STR, 5);
/*** execute the prepared statement ***/
$stmt->execute();
Nota: la desinfección se produce durante la unión ($stmt->bindParam)
Otros recursos variables:
http://net.tutsplus.com/tutorials/php/why-you-should-be-using-phps-pdo-for-database-access/
http://www.phpeveryday.com/articles/PDO-Prepared-Statement-P550.html
4
El punto importante cuando se utiliza PDO es:
DOP sólo desinfectar para SQL, no para su aplicación.
Así que sí, para escrituras, como INSERTAR o ACTUALIZAR, es especialmente crítico filtrar primero sus datos y desinfectarlos para otras cosas (eliminación de etiquetas HTML, JavaScript, etc.).
<?php
$pdo = new PDO(...);
$stmt = $pdo->prepare('UPDATE users SET name = :name WHERE id = :id');
$id = filter_input(INPUT_GET, 'id', FILTER_SANITIZE_NUMBER_INT); // <-- filter your data first
$name = filter_input(INPUT_GET, 'name', FILTER_SANITIZE_STRING); // <-- filter your data first
$stmt->bindParam(':id', $id, PDO::PARAM_INT); // <-- Automatically sanitized for SQL by PDO
$stmt->bindParam(':name', $name, PDO::PARAM_STR); // <-- Automatically sanitized for SQL by PDO
$stmt->execute();
Sin desinfectar la entrada del usuario, un hacker podría haber salvado algunos javascript en su base de datos y luego, cuando la producción en su sitio que se habría expuesto a una amenaza!
Cuestiones relacionadas
- 1. ¿Cómo desinfecta SqlCommand los parámetros?
- 2. ¿Cómo bindValue con% en PDO?
- 3. Problema con la consulta de PHP PDO
- 4. comprobar entrada duplicada vs uso PDO errorInfo resultado
- 5. ¿Cómo hacer LIKE buscar con PDO?
- 6. PDO queryString con datos enlazados
- 7. preparado consulta parametrizada con PDO
- 8. Cómo usar la conexión persistente de PDO?
- 9. ¿Cómo cargar la extensión sqlite en PDO?
- 10. PDO Exception Questions - Cómo atraparlos
- 11. PDO :: exec() o PDO :: query()?
- 12. Es "entrada de filtro, salida de escape" aún válida con PDO
- 13. PDO bindValue con \ PDO :: PARAM_BOOL hace que la sentencia se ejecute falle silenciosamente
- 14. ¿Cómo funciona PHP PDO internamente?
- 15. Uso de PDO :: FETCH_CLASS con Magic Methods
- 16. ¿Cómo habilito PDO usando CentOS?
- 17. Usando parámetros nombrados con PDO para LIKE
- 18. ¿Cómo ejecutar el script mysql con variables usando PHP :: PDO?
- 19. ¿Cómo puedo recuperar el número de filas eliminadas con PDO?
- 20. Ejecutar una instrucción PDO preparada con la cláusula similar
- 21. ¿Abrir SQLite3 como READONLY con PDO?
- 22. ¿ALTER TABLE con PDO y parámetros?
- 23. Pregunta de la clase PHP y PDO
- 24. ¿Cómo sabe PDO la última identificación insertada en MySQL?
- 25. Codeigniter PDO integración
- 26. Para el método PDO :: lastInsertId(), ¿qué quieren decir con el argumento "nombre de secuencia"? (PHP - PDO)
- 27. ¿Cómo lo inserto en PDO (sqllite3)?
- 28. Manejar la entrada de usuario con Raphael
- 29. PHP - PDO return scape slash, ¿cómo eliminarlo?
- 30. PHPUnit - Cómo simular la declaración preparada de PDO
Hola gracias. Ya lo sé, así que no necesito $ animal_id = mysql_real_escape_string ($ _ POST ['blabla']), ¿pero ahora puedo hacer $ animal_id = $ _ POST ['blabla'] ahora? – Karem
Si está utilizando una declaración preparada, puede vincular directamente la variable sin la necesidad de escaparla como una cadena ... usando PDO, la ejecuta/maneja como una cadena de todos modos, evitando que cualquier inyección intente – SW4
Entonces, para más simple responde, si! – SW4