Forgot Password ??

PHP , ASP , ASP.NET, VB.NET, C#, Java , jQuery , Android , iOS , Windows Phone

	Registered : 109,037

HOME > PHP > PHP Forum > PDO Prepare bindParam, DBAL Prepare bindValue ปลอดภัยจริงอะป่าว?

PDO Prepare bindParam, DBAL Prepare bindValue ปลอดภัยจริงอะป่าว?

เริ่มหัวข้อใหม่

mr.v

โพสกระทู้ ( 4,756 )
บทความ ( 8 )

เนื่องจากผมใช้งานเจ้า Doctrine DBAL อยู่ (คนละตัวกับ ORM นะครับ) และเจ้าตัวนี้มันใช้ร่วมกับ PDO ผมจึงตั้งหัวกระทู้ PDO ซะเลย

แล้วทีนี้ จากหน้าเอกสารความปลอดภัย http://docs.doctrine-project.org/projects/doctrine-dbal/en/latest/reference/security.html
เขาบอกว่า API ต่างๆไม่ปลอดภัยจาก User input ยกเว้นบางส่วน เช่น Doctrine\DBAL\Connection#insert() Doctrine\DBAL\Connection#update() และอื่นๆอีกไม่กี่ตัว
แล้วก็อธิบายถึงการเขียนที่ผิดว่าการต่อสตริงมันไม่ถูก การใช้ prepare มันถูก (Wrong: String Concatenation) (Right: Prepared Statements) (Right: Quoting/Escaping values)
ตัวอย่างของเขา
Code (PHP)

// SQL Prepared Statements: Positional
$sql = "SELECT * FROM users WHERE username = ?";
$stmt = $connection->prepare($sql);
$stmt->bindValue(1, $_GET['username']);
$stmt->execute();

ผมจึงลองของผมดูบ้างว่าเป็นไง?
Code (PHP)

$options['module_enable'] = 1;
$options['site_id'] = '\'; DROP TABLE an_modules;';

$sql = 'SELECT * FROM `'.$this->Db->getTableName('modules').'` AS `m`';
        $sql .= ' LEFT JOIN `'.$this->Db->getTableName('module_sites').'` AS `ms` ON m.module_id = ms.module_id WHERE 1';
        if (isset($options['module_enable'])) {
            $sql .= ' AND `module_enable` = :module_enable';
        }
        if (isset($options['site_id'])) {
            $sql .= ' AND `site_id` = :site_id';
        }
        if (isset($options['module_id'])) {
            $sql .= ' AND m.module_id LIKE :module_id';
        }

        $stmt = $this->Conn->prepare($sql);
        if (isset($options['module_enable'])) {
            $stmt->bindValue('module_enable', $options['module_enable'], \PDO::PARAM_INT);
        }
        if (isset($options['site_id'])) {
            $stmt->bindValue('site_id', $options['site_id'], \PDO::PARAM_INT);
        }
        if (isset($options['module_id'])) {
            $stmt->bindValue('module_id', '%'.$options['module_id'].'%', \PDO::PARAM_INT);
        }
        $stmt->execute();

ปรากฏว่า เละครับ!

Quote:
SELECT * FROM `an_modules` AS `m` LEFT JOIN `an_module_sites` AS `ms` ON m.module_id = ms.module_id WHERE 1 AND `module_enable` = 1 AND `site_id` = ''; DROP TABLE an_modules;'

....

คือผมสงสัยว่าตกลง bindValue มันมีไว้ทำไร?
bindvalue type ของมันมีไว้ทำไร?
แล้วพวก bindParam ของ PDO ก็คงไม่ต่างกันเลยมั้ย?
จะทำยังไงให้มันรอด SQL injection จะต้องเอา mysqli_real_escape_string ไปครอบไว้เหมือนสมัยก่อน?
แล้วงี้จะมานั่ง bindvalue, bindparam กันทำไม?

Tag : PHP, MySQL

Date : 2015-11-25 14:37:07

By : mr.v

View : 1340

Reply : 5

No. 1

NewbieXYZ

โพสกระทู้ ( 1,636 )
บทความ ( 0 )

วาจะเปลี่ยนไปใช้ PDO เปลี่ยนใจแล้วครับ แฮะๆ

Date : 2015-11-25 15:18:44

By : NewbiePHP

No. 2

mr.v

โพสกระทู้ ( 4,756 )
บทความ ( 8 )

ตอบความคิดเห็นที่ : 1 เขียนโดย : NewbiePHP เมื่อวันที่ 2015-11-25 15:18:44

รายละเอียดของการตอบ ::

คุณลองเทสดูก่อน เผื่อผมพลาด เพราะผมไม่ได้ใช้ PDO โดยตรงแต่ใช้ผ่าน Doctrine DBAL.

Date : 2015-11-25 15:20:03

By : mr.v

No. 3

Guest

หันมาเล่น PDO กันเถอะครับ ..

Date : 2015-11-25 15:55:14

By : deawx

No. 4

mr.v

โพสกระทู้ ( 4,756 )
บทความ ( 8 )

สรุปแล้วเป็นที่ตัว profiler ของผมเอง
ผมใส่ให้มัน EXPLAIN ($sql) แล้วก็นึกว่าไม่มีไรแล้ว แต่ดูดีๆคำสั่งที่ใช้มันเป็น query() ธรรมดาสำหรับ EXPLAIN เลยเปลี่ยนมาใช้ prepare() & execute() ก็เลยแก้ได้

เฮียเดี่ยวฮะ ผมต้องใช้เจ้าตัวนี้เพราะ ORM ที่จะเอามาใช้มันรันบนตัวนี้ทั้ง 2 เจ้าเลย
ทั้งของ Doctrine ORM และ Spot ORM กำลังว่าจะเลือกตัวหลังเพราะตัวแรกมันสร้างยุ่งยากต้องกำหนดตัว method get สำหรับแต่ละฟิลด์ ยุ่งยากเลอะเทอะไปหมด แหะๆ

Date : 2015-11-26 09:28:42

By : mr.v

No. 5

deawx

โพสกระทู้ ( 5,149 )
บทความ ( 26 )

ORM นี่ บ่องตงเลยครับ กระผมยังไม่เคยรู้จักมันเบย ... แหะ ๆ สงสัยผมยังไม่เคยจับงานใหญ่ ๆ

Date : 2015-11-26 15:15:10