Може ли някой да ми каже дали е защитен или дали е уязвим за атака на SQL инжекция или други SQL атаки?
Не Както казва uri2x, вижте SQL инжекция, която заобикаля mysql_real_escape_string()
.
Най-добрият начин за предотвратяване на SQL инжекция е да използвате подготвени изрази. Те разделят данните (вашите параметри) от инструкциите (низът на SQL заявка) и не оставят никакво място за данните да замърсяват структурата на вашата заявка. Подготвените изявления решават един от фундаменталните проблеми на сигурността на приложението .
За ситуация, в която не можете да използвате подготвени изрази (напр. LIMIT ), използването на много строг бял списък за всяка конкретна цел е единственият начин за гаранция сигурност.
// This is a string literal whitelist
switch ($sortby) {
case 'column_b':
case 'col_c':
// If it literally matches here, it's safe to use
break;
default:
$sortby = 'rowid';
}
// Only numeric characters will pass through this part of the code thanks to type casting
$start = (int) $start;
$howmany = (int) $howmany;
if ($start < 0) {
$start = 0;
}
if ($howmany < 1) {
$howmany = 1;
}
// The actual query execution
$stmt = $db->prepare(
"SELECT * FROM table WHERE col = ? ORDER BY {$sortby} ASC LIMIT {$start}, {$howmany}"
);
$stmt->execute(['value']);
$data = $stmt->fetchAll(PDO::FETCH_ASSOC);
Предполагам, че горният код е имунизиран срещу SQL инжектиране, дори в неясни крайни случаи. Ако използвате MySQL, уверете се, че сте изключили емулираната подготовка.
$db->setAttribute(\PDO::ATTR_EMULATE_PREPARES, false);
