V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
peizhao2017
V2EX  ›  问与答

请教下大神,使用了 pdo 是不是就可以无视 sql 注入了?

  •  
  •   peizhao2017 · 2018-06-03 19:05:48 +08:00 · 2359 次点击
    这是一个创建于 2394 天前的主题,其中的信息可能已经有所发展或是发生改变。
    请教下大神
    使用了 pdo 是不是就可以无视 sql 注入了?

    努力了一下午
    用 medoo 把网站原来的 mysqli 拼接语句换成 pdo

    那么现在问题来了
    在不考虑极端情况下
    pdo 可以不过滤任何用户输入的内容直接入库吗?
    11 条回复    2018-06-03 21:38:05 +08:00
    carlclone
        1
    carlclone  
       2018-06-03 19:08:08 +08:00 via Android
    prepare 预处理查询语句
    m939594960
        2
    m939594960  
       2018-06-03 19:34:45 +08:00
    只要用参数绑定的话可以。很多框架应该都是这么做的。 当然不排除将来有其他绕过的方法
    hly9469
        3
    hly9469  
       2018-06-03 19:35:52 +08:00 via iPhone
    pdo 只是个数据库连接驱动,跟防注入有啥关系?
    hly9469
        4
    hly9469  
       2018-06-03 19:36:25 +08:00 via iPhone
    @hly9469 #3 还得靠参数绑定之类的
    Felldeadbird
        5
    Felldeadbird  
       2018-06-03 19:43:51 +08:00 via iPhone
    mysqli 也可以参数绑定。这个是将提交参数给数据库处理。这样才可以防止注入。
    当然,以后出来 bug 一样会有注入。只是现在还没出现
    peizhao2017
        6
    peizhao2017  
    OP
       2018-06-03 19:50:55 +08:00
    @Felldeadbird #5

    我话没说全

    我想问的是

    原来用的是 sql 拼接

    现在改成了 PDO::prepare


    那么在 PDO::prepare 的情况下

    还需要对用户的输入内容做各种转义和过滤吗??

    是不是就可以直接入库
    SourceMan
        7
    SourceMan  
       2018-06-03 20:10:53 +08:00 via iPhone
    大部分情况可以
    Death
        8
    Death  
       2018-06-03 20:15:14 +08:00 via Android
    hilow
        9
    hilow  
       2018-06-03 20:16:31 +08:00
    经过 prepare 后的参数,对 mysql 来说,是安全的,可以直接入库
    但安全是个大问题,对 mysql 安全的数据,也许在其他地方使用,就会引起注入问题
    比如 存入 mysql 中的是 js 代码,那你经过处理直接把这些 文本 用到前端,就可能引起问题
    推荐一本书 白帽子讲 web 安全,里面有全面的有关示例
    peizhao2017
        10
    peizhao2017  
    OP
       2018-06-03 21:32:21 +08:00
    @Death #8
    小站
    先不考虑这种二阶注入

    本来也没有绝对的安全的方法
    peizhao2017
        11
    peizhao2017  
    OP
       2018-06-03 21:38:05 +08:00
    @hilow #9



    如果不过滤和转义的内容 PDO::prepare 后对 MySQL 是安全的

    那么 xss 方面我用白名单

    即前端输出的时候只留常规的<p><br><img>等需要的 html 标签

    其他的一律过滤不显示或转义后显示

    这样是不是就基本可以预防大部分的 sql 注入和 xss 攻击了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3611 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 04:56 · PVG 12:56 · LAX 20:56 · JFK 23:56
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.