Достаточно ли подготовленных операторов MySQLi для предотвращения внедрения SQL?

Question

Достаточно ли подготовленных операторов MySQLi для предотвращения внедрения SQL?

1

Здесь задан вопрос о браке. Я ищу перспективу, специфичную для расширения MySQLi.

В связанном соборе вопрос, перефразируемый вывод - нет, подготовленные заявления PDO не на 100% достаточны для предотвращения SQL-инъекции. Существуют определенные граничные случаи и настройки PDO, которые уязвимы для SQL-инъекции.

Мой вопрос заключается в том, что MySQLi подготовил инструкции на 100%, достаточные для предотвращения SQL-инъекций, или у этого также есть определенные настройки, которые нам нужно обновить, чтобы быть полностью безопасными?

Спасибо за любую помощь!

The Gilbert Arenas Dagger 18 нояб. 2015, в 00:00

Источник

1

Похоже, что ответ на вопрос брата охватывает все вопросы. У вас есть более конкретный вопрос, который не рассматривается в брате? Для обзора: вам нужно отключить эмулированные подготовленные операторы и избегать смешивания кодировок сервера и клиентской библиотеки. Я полагаю, что единственный известный эксплойт для параметризованных запросов использует именно несоответствие кодировок gbk.
chugadie 17 нояб. 2015, в 23:18
0

Вы используете функции PDO или mysqli_ *?
JoniJnm 17 нояб. 2015, в 23:34
1

@chugadie Я думал, что эти детали были специфичны для PDO, mysqli использует эмулированные подготовленные заявления?
The Gilbert Arenas Dagger 18 нояб. 2015, в 03:17
0

@JoniJnm Я говорю конкретно о функциях mysqli
The Gilbert Arenas Dagger 18 нояб. 2015, в 03:20
0

@TheGilbertArenasDagger нет, mysqli не эмулировал подготовленные заявления. php.net/manual/en/mysqli.quickstart.prepared-statements.php «API не включает эмуляцию для эмуляции подготовленных операторов на стороне клиента».
chugadie 18 нояб. 2015, в 13:29

Показать ещё 3 комментария

Теги:

php

security

mysqli

sql-injection

prepared-statement

2 ответа

Ещё вопросы

Похоже, что ответ на вопрос брата охватывает все вопросы. У вас есть более конкретный вопрос, который не рассматривается в брате? Для обзора: вам нужно отключить эмулированные подготовленные операторы и избегать смешивания кодировок сервера и клиентской библиотеки. Я полагаю, что единственный известный эксплойт для параметризованных запросов использует именно несоответствие кодировок gbk.
Вы используете функции PDO или mysqli_ *?
@chugadie Я думал, что эти детали были специфичны для PDO, mysqli использует эмулированные подготовленные заявления?
@JoniJnm Я говорю конкретно о функциях mysqli
@TheGilbertArenasDagger нет, mysqli не эмулировал подготовленные заявления. php.net/manual/en/mysqli.quickstart.prepared-statements.php «API не включает эмуляцию для эмуляции подготовленных операторов на стороне клиента».

chugadie · Answer 1 · 2015-11-18T11-34-00.000Z

Подготовленные утверждения - это функция сервера, а не функция клиентской библиотеки. Каждая клиентская библиотека mysql для PHP - pdo, mysql и mysqli - использует библиотеку libmysqlclient и полагается на нее для функций. PDO - единственная библиотека, которая добавляет концепцию эмулируемых подготовленных операторов.

Все обсуждения о безопасности использования подготовленных операторов применяются ко всем клиентским библиотекам одинаково. (кроме PDO, когда он использует эмулированные подготовленные операторы, и вы сохраняете данные в кодировке gbk, и вы не соглашаетесь с настройкой набора символов на сервере и в клиентской библиотеке (кстати, это единственная известная слабость против добавок)

Спасибо за ответ, я одобрил ваш ответ, но, с уважением, если мы говорим, что обсуждение безопасности с использованием подготовленных заявлений применимо в равной степени, за исключением такого и такого крайнего случая, тогда я не считаю его равным. Подготовленные операторы действительно являются функцией базы данных, поэтому ваша основная точка зрения принята; вы можете взаимодействовать с базой данных по-разному, но в конечном итоге вы используете одну и ту же функцию. Мне менее понятны все настройки по умолчанию, о которых мне нужно знать при использовании mysqli.
Я полагаю, что я недостаточно понимаю исходный вопрос. Я предполагаю, что вы хотите получить ответы, похожие на вопрос о родном брате, но ориентированные именно на mysqli вместо pdo_mysql. Вот почему я говорю, что все точно так же, за исключением граничного случая gbk. (что крайне гипотетично, потому что никто не сохраняет свои данные в gbk, даже китайцы)
Я пересмотрел свой вопрос, если это не было ясно. У меня сложилось впечатление, что ответ такой: да, подготовленные операторы с использованием MySQLi безопасны, потому что эмулированные подготовленные операторы не используются. Это справедливый вынос?
Я не думаю, что это тот ответ, который я пытался дать (но это не так). Подготовленные заявления безопасны, потому что подготовленные заявления безопасны.

Neil McGuigan · Answer 2 · 2015-11-17T23-10-00.000Z

Да, подготовленных операторов достаточно, чтобы предотвратить SQL-инъекцию, но только если вы всегда их используете.

Нет, подготовленные утверждения недостаточны для предотвращения SQL-инъекций, поскольку не все параметры являются параметрируемыми, например, некоторые команды set, однако это можно смягчить с помощью белых списков и/или регулярного выражения.

Я ценю ответ, но я полностью смущен противоречивыми утверждениями.
Используйте готовые заявления, они полезны везде, кроме нескольких незначительных случаев