PDO = Sicherheit?

HerrUntutorial · 28. Mai 2010, 15:28

Eine Frage:
Wenn ich MySQL mit PDO benutzte und die Parameter ("?") binde,
sind die MySQL-Abfragen/Queries dann sicher?
D.h. muss kein mysql_real_escape_string() mehr angewandt werden sondern kann die Formular-Eingaben direkt übermitteln?

Beispiel:

Quellcode

$sql = "UPDATE `user` SET `website` = ? WHERE `userid` = ?";
$stmt = DB::getInstance()->prepare($sql);
$stmt->execute(array($_POST['website'], $_POST['userid']));

X-Eon · 28. Mai 2010, 19:17

HerrUntutorial schrieb:

sind die MySQL-Abfragen/Queries dann sicher?

Naja, zumindest werden die Parameter escaped.

Torben Brodt · 28. Mai 2010, 19:50

Ja, über das Schema ist alles sicher.
mysql_real_escape_string ist eine andere Datenbankschnittstelle, die im Zweifel nicht mal installiert ist, wenn du nur pdo nutzt.

Fragz · 27. März 2012, 13:52

Hallo,

Wollte jetzt nicht unbedingt ein neues Thema aufmachen deswegen Poste ich mal hier.

Meine POST und GET Parameter werden ja automatisch durch ein mysql_real_escape_string geschützt. Werden diese auch mit stripslashes geschützt oder sollte ich mir dafür lieber was bauen?

Torben Brodt · 29. März 2012, 21:46

Warum willst du denn mysql_real_escape_string und stripslashes zusammen anwenden? Ersteres reicht.
Wenn du nur einen einzigen Datenbankwrapper hast, solltest du das Escaping der Parameter dort machen.

Genauso solltest du htmlentities auf alle Variablen in der Ausgabe anwenden.
Lg

Fragz · 30. März 2012, 08:55

Also kann ich Praktisch mit easy-coding.de/wiki/php/einfuehrung-in-pdo.html
stripslashes weglassen und die $_POST, $_GET etc direkt übergeben?

Torben Brodt · 30. März 2012, 21:11

ja, du kannst $_GET direkt in der das pdoparams array (in execute) reingeben.
Im $sql String (in prepare) darfst du natürlich keine $_GET Variablen einfügen.
LG

PDO = Sicherheit?

PDO = Sicherheit?

Quellcode

HerrUntutorial schrieb:

Teilen

Benutzer online 1

Tags