PHP-MySQL prepared statement biztonság
Sziasztok!
Az lenne a kérdésem, hogy a prepared statementek használata minden sql biztonsági kérdést megold? Mert elvileg el van választva az adat és a végrehajtandó kód... Magyarán ha ilyeneket használok, akkor (sql oldalról) semmilyen ellenőrzést nem igényel a bemenő (külső) paraméter?
Előre is köszönöm a válaszokat!
■ Az lenne a kérdésem, hogy a prepared statementek használata minden sql biztonsági kérdést megold? Mert elvileg el van választva az adat és a végrehajtandó kód... Magyarán ha ilyeneket használok, akkor (sql oldalról) semmilyen ellenőrzést nem igényel a bemenő (külső) paraméter?
Előre is köszönöm a válaszokat!
Nem
Köszönöm!
Nem
Hozzáteszem, hogy pl UTF-8 esetén a magic quotes/addslashes is működik, mert a visszaper jel nincs benne egyetlen multibyte karakterben sem, tehát nem lehet ilyen jellegű exploitokhoz fölhasználni, ha mondjuk mindent macskakörmök között küldesz. A big5 esetén ez pl már nem igaz.
Alapvetően érdemes az arra kitalált függvényeket (mysql(i)_real_escape_string és a barátai) arra használni, amire valóak, ez valószínűleg a legbiztonságosabb út.
Ezen felül állandó jelleggel figyelni kell XSS,CSRF, stb támadásokra, tehát az SQL injection, amelyet a legegyszerűbb kivédeni, ha jól dolgozol, a legkissebb veszélyforrás.