PDO Prepared Statement允许执行javascript

时间:2014-10-22 02:53:14

标签: javascript php mysql pdo

我对 PDO 准备好的声明感到困惑。我按照php.net文档中的说法做了一切。当我将JavaScript插入数据库然后查询数据库并在页面上输出结果时,它给了我数据库中的JavaScript警报。

PDO 是否可以保护用户数据免受此类攻击,或者我们是否必须自行进行清理和转义,或者是否遗漏了这些内容。

<?php
    try {
        $db = new PDO('mysql:host=localhost;dbname=test', "root", "");
    } catch ( PDOException $e ) {
        print "Error!: " . $e->getMessage() . "<br/>";
        die();
    }

    $query = $db->query('SELECT * from users');
    if( $query->rowCount() ){
        $rows = $query->fetchAll( PDO::FETCH_OBJ);
        foreach( $rows as $row ){
            echo $row->user_name;
            echo "<br/>";
        }
    } else {
        echo "No results found";
    }

    $user_name = "<script type=\"text/javascript\">alert(\"Works\");</script>";
    $user_email = "example@gmail.com";
    $user_password = "password";
    $user_status = "1";

    $data = array(
        ":user_name" => $user_name,
        ":user_email" => $user_email,
        ":user_password" => $user_password,
        ":user_status" => $user_status
    );
    $sql = "INSERT INTO users (user_name, user_email, user_password, user_status) VALUES(:user_name, :user_email, :user_password, :user_status)";
    $prepare = $db->prepare($sql);
    $exec = $prepare->execute($data);
?>

1 个答案:

答案 0 :(得分:3)

当您使用预准备语句并参数化SQL时,PDO可防止SQL注入攻击。

但是你正在描述一种叫做跨站点脚本(XSS)的东西。这是一个完全不同的安全问题。它不依赖于SQL或数据库内容。您可以使用任何应用程序数据创建XSS漏洞,而不仅限于来自数据库的数据。与SQL注入一样,XSS对于所有程序员来说都很重要。

你可能已经看过关于如何在PHP中防止SQL注入的高评价帖子:

但是这里有一些关于XSS防御的好帖子:

SQL注入和跨站点脚本始终是在Web上公开数据的两大安全错误。请参阅OWASP十大关键安全风险列表:https://www.owasp.org/index.php/OWASP_Top_Ten_Project

让自己去那个OWASP网站。有很多资源可以学习安全风险以及如何解决这些风险。它是免费的!