cuán seguras son las declaraciones preparadas por PDO

Question

Empecé a usar declaraciones preparadas por PDO no hace mucho tiempo, y, según tengo entendido, hace todo el escape/seguridad para usted.

por ejemplo, suponiendo que $ _POST ['title'] es un campo de formulario.

$title = $_POST['title']; 
$query = "insert into blog(userID, title) values (?, ?)" 
$st = $sql->prepare($query); 
$st->bindParam(1, $_SESSION['user']['userID'], PDO::PARAM_INT); 
$st->bindParam(2, $title); 
$st->execute(); 

¿Es esto realmente seguro? ¿Tengo que hacer algo más? ¿Qué más tengo que tomar en consideración?

Gracias.

Answer 1

Estrictamente hablando, en realidad no se necesita escaparse, porque el valor del parámetro nunca se interpola en la cadena de consulta.

La manera en que funcionan los parámetros de consulta es que la consulta se envía al servidor de la base de datos cuando llamó a prepare(), y los valores de los parámetros se envían más tarde, cuando llamó al execute(). Por lo tanto, se mantienen separados de la forma textual de la consulta. Nunca hay una oportunidad para inyección SQL (siempre que PDO::ATTR_EMULATE_PREPARES sea falso).

Así que sí, los parámetros de consulta lo ayudan a evitar esa forma de vulnerabilidad de seguridad.

¿Son 100% de protección contra cualquier vulnerabilidad de seguridad? No claro que no. Como sabrá, un parámetro de consulta solo ocupa el lugar de un único valor literal en una expresión SQL. No se puede hacer una única sustitución de parámetros para una lista de valores, por ejemplo:

SELECT * FROM blog WHERE userid IN (?); 

No se puede utilizar un parámetro para que los nombres de tabla o nombres de columna dinámicos:

SELECT * FROM blog ORDER BY ?; 

Puede 't utilizar un parámetro para cualquier otro tipo de sintaxis SQL:

SELECT EXTRACT(? FROM datetime_column) AS variable_datetime_element FROM blog; 

por lo que hay un buen número de casos en los que hay que manipular la consulta como una cadena, antes de la llamada prepare(). En estos casos, aún necesita escribir el código cuidadosamente para evitar la inyección de SQL.

Answer 2

En cuanto a las inyecciones de SQL, creo que es lo más seguro que puede obtener, especialmente si utiliza constantes como PDO :: PARAM_INT.

Answer 3

Es seguro desde la inyección de SQL.

Un par de cosas que no es seguro desde:

• Denegación de servicio (que causa una cantidad excesiva de filas que se creen)
• ataques entre sitios mediante secuencias de comandos (si el título está cada vez se hizo eco de nuevo a otro usuario)

La seguridad es más que la prevención de la inyección SQL.

Answer 4

Como se mencionó XSS, creo que también es bueno echar un vistazo al uso de cosas como esta clase de limpieza de entrada http://www.phpclasses.org/browse/package/2189.html para evitar ataques XSS.