/ / Les déclarations préparées dans les AOP augmentent-elles vraiment la sécurité? - php, sécurité, pdo

Les instructions préparées dans les AOP augmentent-elles vraiment la sécurité? - php, sécurité, pdo

Je me demande si ces déclarations préparées de l'AOPvraiment augmenter la sécurité, ou si elles sont juste un texte "bon marché"-remplacer dans la requête. Le point essentiel des instructions préparées est que tout ce qui est inséré en tant que paramètre ne sera pas analysé par le SGBD dans le cadre des instructions elles-mêmes. Un paramètre comme 

""; DROP TABLE foobar;"

n'a aucun effet et ne casse pas la requête. Est-ce que quelqu'un le sait en détail? Je pensais utiliser AOP avec des instructions préparées pour prévenir l’injection SQL. Il s’avère qu’ils sont difficiles à utiliser (et ne fonctionnent même pas, du moins sur ma machine locale), je veux donc le découvrir avant de perdre encore plus de temps avec AOP ;-)

Réponses:

11 pour la réponse № 1

La création d'une instruction préparée envoie les requêtes avec caractères génériques au serveur pour l'analyse et renvoie un jeton pour appeler cette instruction.

Un appel consiste simplement à envoyer les données liées àchaque paramètre. Cela signifie qu'il n'y aura pas d'analyse des données (car elles ne font pas partie d'une chaîne de requête), et que la structure de la requête est fixée lorsque l'instruction préparée est analysée et ne peut pas être modifiée par injection.

Donc, oui, une déclaration préparée augmente définitivement la sécurité.

Cela signifie également que vous ne devez pas engager de temps d'analyse si vous réutilisez une instruction préparée pour plusieurs demandes.

3 pour la réponse № 2

Oui, ils augmentent la sécurité. PDO ou MySQLi augmente également la vitesse par rapport aux méthodes MYSQL habituelles en PHP, car les données sont transmises sous une forme plus compacte.

questions connexes

Utilisation de certificats numériques pour la sécurité des messages et du transport dans les services Web WCF - services Web, wcf, ssl, certificat numérique
Quels sont les pièges courants à éviter dans une application jsp en termes de sécurité? [fermé] - sécurité, jsp, session
Quelqu'un pourrait-il expliquer ce que font les? Dans mySQL? [dupliquer] - php, sql
Retour sur ma première déclaration préparée [fermé] - php, mysql, security, statement-statement, sql-injection
mysql instructions préparées & concept de couple purificateur html - php, mysql, instruction préparée, mysql-real-escape-string, htmlpurifier
Quelles sont les techniques de base pour sécuriser mon application php? [fermé] - php, sécurité, applications web
Protégez le code PHP contre différentes attaques / injections [fermé] - php, sécurité, xss, csrf
Insérer un formulaire dans MySQL avec PDO [dupliquer] - php, mysql, pdo
comment utiliser “mysqli_real_escape_string” dans les instructions préparées de PHP? [duplicate] - php, mysqli
Insérer des valeurs avec une seule citation dans PostgreSQL - php, sql, postgresql
Ai-je besoin de l'instruction mysqli_string_escape pour éviter l'injection de sql - php
Une injection SQL peut-elle être effectuée dans ce cas? [dupliquer] - php, mysql, sql-injection
Obtenir la liste des instructions préparées dans mysql - mysql, prepare-statement, mysql-workbench
Est-il excessif d'utiliser des instructions préparées pour la reliure à la placeholder seul? - mysql, statement-statement
Quelles sont les utilisations exactes du terme REALM en sécurité? - Java, sécurité, http, servlets
Les travailleurs Web augmentent-ils (ou diminuent-ils) la sécurité? - javascript, sécurité, web-worker, navigateur-sécurité
Les modèles de prédicats sont-ils identiques aux instructions préparées? - iphone, core-data, nspredicate
L'analyse d'un fichier CSV téléchargé par un utilisateur depuis ASP.NET dans la base de données MySQL. Problèmes de sécurité - asp.net, mysql, sécurité, csv, sql-injection
Existe-t-il une bibliothèque WebView qui implémente le correctif de sécurité d’Android 4.4? - Android, sécurité, webview