Les instructions préparées par PDO empêchent-elles complètement l'injection SQL ?

Les instructions préparées par PDO sont-elles suffisantes pour empêcher l'injection SQL ?

Question :

Est-ce suffisant pour utiliser des instructions préparées par PDO pour empêcher l'injection SQL attaques ?

Réponse :

Oui, les instructions préparées par PDO sont sécurisées lorsqu'elles sont utilisées correctement. Cependant, il y a des nuances à considérer pour assurer une protection complète.

L'attaque :

Dans certains scénarios, une attaque par injection SQL est toujours possible même avec des instructions préparées par PDO. Cette attaque nécessite :

1. Sélectionner un jeu de caractères vulnérable (par exemple, gbk) sur le serveur.
2. Construire une charge utile qui peut contourner l'échappement.
3. Utiliser les PDO émulés déclarations préparées.

Le Correctif :

Pour empêcher cette attaque, suivez ces bonnes pratiques :

• Désactivez les instructions préparées émulées : Set $pdo->setAttribute(PDO ::ATTR_EMULATE_PREPARES, false);.
• Utiliser true préparé déclarations : Assurez-vous que MySQL prend en charge les instructions préparées natives pour la requête donnée.
• Définissez le jeu de caractères correctement : Utilisez le paramètre DSN charset pour définir l'encodage de connexion côté client ( par exemple, $pdo = new PDO('mysql:host=localhost;dbname=test;charset=utf8mb4', $user, $password);).
• Utilisez un jeu de caractères sécurisé : Choisissez des jeux de caractères qui ne sont pas vulnérables aux caractères multi-octets non valides (par exemple, utf8 ou latin1).
• Activez le mode SQL NO_BACKSLASH_ESCAPES : Ce mode modifie le comportement de mysql_real_escape_string() pour empêcher attaques.

Exemples sûrs :

Les exemples suivants sont à l'abri des attaques par injection SQL :

• Utilisation de PDO avec le DSN paramètre charset et un jeu de caractères non vulnérable.
• Utilisation de vraies instructions préparées avec MySQLi (qui n'émule pas prépare).
• Désactiver les instructions préparées émulées et définir correctement le jeu de caractères.

Conclusion :

Si vous suivez les meilleures pratiques recommandées Comme indiqué ci-dessus, les instructions préparées par PDO peuvent empêcher efficacement les attaques par injection SQL. Cependant, il est crucial de comprendre les vulnérabilités potentielles et de prendre les mesures appropriées pour les atténuer.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!