PDO bindValue不会转义

时间:2015-04-27 23:10:27

标签: php mysql pdo

发生了一些奇怪的事情,因为PDO应该逃避任何XSS

这是我的PDO课程

<?php
class Database {
    private $host = 'localhost';
    private $user = 'root';
    private $pass = '';
    private $dbname = '';

    private static $_instance;

    private $dbh;
    private $stmt;
    private $error;

    private function __construct() {
        if($this->dbh != null)
            return $this->dbh;

        $dsn = 'mysql:host=' . $this->host . ';dbname=' . $this->dbname;
        $options = array(
            PDO::ATTR_PERSISTENT => true,
            PDO::ATTR_ERRMODE => PDO::ERRMODE_WARNING, //ERRMODE_SILENT
            PDO::MYSQL_ATTR_INIT_COMMAND => "SET NAMES utf8",
        );
        try {
            $this->dbh = new PDO($dsn, $this->user, $this->pass, $options);
        }
        catch(PDOException $e) {
            echo '__construct -> ';
            var_dump($e->getMessage());
        }
    }
    private function __clone(){
    }

    public static function getInstance() {
        if(!self::$_instance) {
            self::$_instance = new Database();
        }
        return self::$_instance;
    }

    public function query($query) {
        try {
            $this->stmt = $this->dbh->prepare($query);
        }
        catch(PDOException $e) {
            echo 'query -> ';
            var_dump($e->getMessage());
        }
    }

    public function bindValue($param, $value, $type) {
        $this->stmt->bindValue($param, $value, $type);
    }
    public function execute() {
        try {
            return $this->stmt->execute();
        }
        catch(PDOException $e) {
            echo 'execute -> ';
            var_dump($e->getMessage());
        }
    }
}
?>

...这里是一个将注释插入数据库的处理程序

        $this->db->query("INSERT INTO `comments` (`user_id`, `post_id`, `text`, `added`) VALUES (:user_id, :post_id, :text, :added)");
        $this->db->bindValue(':user_id', $user_id, PDO::PARAM_INT);
        $this->db->bindValue(':post_id', $recipe_id, PDO::PARAM_INT);
        $this->db->bindValue(':text', $_POST['text'], PDO::PARAM_STR);
        $this->db->bindValue(':added', time(), PDO::PARAM_INT);
        $this->db->execute();

并且输入不会被“”&gt;'&gt;''&gt;“&gt; alert(1);”

转义

enter image description here

......那么PDO有什么问题?

1 个答案:

答案 0 :(得分:2)

您混淆了不同类型的安全漏洞,它们具有相同的基本原则,但发生在不同的地方:

  • 当攻击者欺骗您的代码构建对您的数据有副作用的SQL字符串时,就会发生SQL注入。例如,通过操纵动态WHERE子句来执行DROP TABLE语句。
  • HTML注入发生在攻击者欺骗您的代码构建HTML时,其中包含您不想要的其他元素,可能包括用户浏览器上的脚本执行。
  • 当您动态构建JS本身时,JS Injection会再次遵循类似的模式。

对所有这些的缓解是相似的 - 要么从代码中隔离数据,以便永远不能执行,要么转义会“突破”预期标记的特殊字符。但是没有一组转义可以使字符串对所有上下文都安全,你必须以正确的方式为你正在使用它的上下文做准备。

因此,在您的情况下,在数据库层中使用参数化查询会阻止SQL注入,但它与如何将数据包含在HTML,JS甚至未来的SQL调用中无关 - 出来的文本是与进入的文本相同。

相关问题
最新问题