Các câu lệnh chuẩn bị PHP PDO có cần phải được thoát không?

Question

Trên PDO::Prepare page nó khẳng định,

"và giúp ngăn ngừa các cuộc tấn công SQL injection bằng cách loại bỏ sự cần thiết phải tự trích dẫn các thông số"

Biết được điều này, là có một chức năng PHP như mysql_real_escape_string() mà sẽ chăm sóc thoát stings cho PDO? Hay PDO có chăm sóc tất cả thoát cho tôi không?

EDIT

Tôi nhận ra bây giờ mà tôi hỏi những câu hỏi sai. Câu hỏi của tôi thực sự là, "PDO làm gì cho tôi?" Mà tôi nhận ra bây giờ với những câu trả lời rằng nó thực sự chỉ loại bỏ sự cần thiết phải thoát khỏi dấu ngoặc kép. Nhưng tôi vẫn sẽ cần phải làm bất kỳ PHP khác khử trùng cuộc gọi trên các giá trị mà tôi vượt qua để thực hiện chức năng. Chẳng hạn như htmlentities(), strip_tags() ... etc ...

Answer 1

PDO không thoát khỏi các biến. Các biến và lệnh SQL được chuyển độc lập qua kết nối MySQL. Và Trình mã thông báo SQL (trình phân tích cú pháp) không bao giờ xem xét các giá trị. Giá trị chỉ được sao chép đúng nguyên văn vào bộ nhớ cơ sở dữ liệu mà không có khả năng gây hại. Đó là lý do tại sao không cần phải marshall dữ liệu với các báo cáo chuẩn bị.

Lưu ý rằng đây chủ yếu là lợi thế về tốc độ. Với mysql_real_escape_string() bạn đầu tiên marshall biến của bạn trong PHP, sau đó gửi một lệnh SQL không hiệu quả đến máy chủ, mà phải tốn kém tách biệt lệnh SQL thực tế từ các giá trị một lần nữa. Đó là lý do tại sao người ta thường nói rằng lợi thế bảo mật chỉ là tiềm ẩn, không phải là lý do chính để sử dụng PDO.

Nếu bạn concat và lệnh SQL không thực sự sử dụng statments sẵn sàng, sau đó vâng, vẫn còn là một chức năng thoát cho PDO (không giỏi!): $pdo->quote($string)

Answer 2

Bạn không phải lo lắng về điều đó. PDO không yêu cầu bạn phải thoát khỏi dữ liệu của bạn trước khi chuyển nó sang cơ sở dữ liệu.

Chỉnh sửa: Chỉ cần nói rõ, miễn là bạn chuyển biến vào tham số của mình (ví dụ, giá trị của trường biểu mẫu), bạn không phải lo lắng về nó. Tuy nhiên, nếu bạn đang truyền các biến mà bạn đã định nghĩa là chuỗi, thì rõ ràng bạn cần phải thoát khỏi bất kỳ thứ gì cần thoát trong chuỗi đó để tránh cú pháp phá vỡ. Tuy nhiên, điều này thậm chí sẽ không có ý nghĩa nhiều vì một trong những ưu điểm chính của PDO là bạn chuyển thông tin từ người dùng tới cơ sở dữ liệu mà không phải tự vệ sinh nó, và không có nhiều lần (nếu có?) rằng bạn sẽ đi qua các chuỗi mà chính bạn đã xác định.

Ngoài ra, hãy đảm bảo bạn vẫn vệ sinh dữ liệu của mình cho loại. Ví dụ, hãy chắc chắn nó là một số nguyên nếu bạn mong đợi nó sẽ, chắc chắn rằng nó nhỏ hơn hoặc lớn hơn x nếu bạn mong đợi nó sẽ vv

Answer 3

Có và không:

• Literals mà bạn nhúng vào chuỗi tuyên bố cần phải được thoát như bình thường.
• Giá trị mà bạn ràng buộc với tuyên bố đã chuẩn bị được thư viện xử lý.

Answer 4

Nếu bạn chuẩn bị tuyên bố và sử dụng bindParam hoặc bindValue để cung cấp các biến, bạn không cần phải thoát khỏi các biến. Lưu ý rằng các hàm này giả định rằng biến chứa một chuỗi, vì vậy hãy sử dụng tham số thứ ba để bindValue nếu bạn muốn sử dụng các boolean hoặc float.

Answer 5

Rất ít người dân ở đây hiểu thoát là gì và khi nào sử dụng nó.
Tự thoát không làm cho bất kỳ dữ liệu nào "an toàn". nó chỉ thoát khỏi các dấu phân tách, để phân biệt một dấu phân cách từ một phần dữ liệu. field = 'it's me' sẽ gây ra lỗi, trong khi field = 'it\'s me' sẽ không xảy ra. Đó là mục đích duy nhất để trốn thoát. Vì vậy, nó chỉ hoạt động khi bạn sử dụng dấu ngoặc kép. Nếu bạn không - trốn thoát trở nên vô dụng.

Bạn có sử dụng dấu ngoặc kép với trình giữ chỗ không? Vì vậy, không có lối thoát nào là hợp lý.

Khi bạn sử dụng tính năng ràng buộc, nó hoạt động theo cách rất khác.
Nó không gửi toàn bộ truy vấn đến máy chủ, nhưng gửi truy vấn đã chuẩn bị của bạn riêng biệt với dữ liệu được liên kết. Vì vậy, nó không thể can thiệp. Và do đó không tiêm được.