mysqli_prepare как проверка, чтобы предотвратить SQL Injection

Question

В настоящее время я пишу приложение, требующее надежной защиты от SQL-инъекции. Мой вопрос таков. Является абсолютным требованием отделить ваши входные параметры от вашего оператора подготовки, чтобы предотвратить SQL-инъекцию, или вы можете просто подготовить какое-либо заявление, чтобы гарантировать, что он свободен от SQL-инъекций?

Другими словами, можно ли использовать mysqli_prepare как простую проверку, чтобы убедиться, что в запросе, который я ранее построил, нет введенного SQL? Или весь процесс привязки параметров и использование последующих структур операторов, возвращаемых для обработки информации, возвращаемой с сервера?

Answer 1

Является ли это абсолютное требование, чтобы отделить входные параметры от вашей подготовки заявления, чтобы предотвратить SQL-инъекции

Более или менее.

Существуют и другие методы, которые вы можете использовать для защиты себя, а иногда вы должны их использовать, но 9 раз из 10 с использованием ? в подготовленном заявлении является самым простым, ясным и в целом лучшим решением.

или вы можете просто подготовить какое-либо заявление, чтобы убедиться, что он свободен от SQL-инъекций?

№ п. Если вы собрали данные пользователя вместе, чтобы создать вредоносный SQL перед подготовкой инструкции, то подготовка инструкции не даст вам никакой защиты вообще.

Защита осуществляется из связанных параметров, а не из подготовленных операторов. Эти две вещи обычно идут рука об руку, поэтому соответствующие преимущества каждого из них иногда неправильно присваиваются неправильной функции.

Answer 2

Подготовка инструкции - это что-то, что делает двигатель SQL. Вы отправляете запрос на сервер раньше времени, говорят:

Prepare : SELECT id, x FROM y WHERE id = ? 

Затем ? будет привязан к данным; ваш уровень абстракции может даже сильно набирать это значение (PDO может это сделать, поскольку вы можете сделать его явным приложением до форматирования и ввода данных).

В процессе подготовки данные и заявления (запросы) хранятся полностью отдельно. Запрос ожидает на сервере, готовый к вызову, и если будут присутствовать поля данных, он будет ожидать ввода.

Это имеет большое преимущество в том, что у вас есть полное разделение логики и данных, а также потому, что запрос хранится на сервере, готовый к вызову. Это означает, что если вам нужно многократно вызывать запрос на массовое вложение данных, почти всегда лучше подготовиться к производительности.

Просто подготовьте утверждение, что уже содержит содержит пользовательский ввод не будет безопасным. вам необходимо разделить данные и логику до, вы добавляете пользовательский ввод.

Answer 3

Если вы имеете в виду что-то вроде:

$sql = "SELECT foo FROM bar WHERE baz = '$var'"; 
$query = $db->prepare($sql); 
// Wee, we are safe! 

Тогда: NO.

Предполагая $var содержит следующее:

Robert'; DROP TABLE users; -- 

Значение $sql будет:

SELECT foo FROM bar WHERE baz = 'Robert'; DROP TABLE users; --' 

Тогда никто не сможет сказать, что часть этого заявления была вставлена ​​пользователем, и что был предназначен. Подготовка этого запроса будет бессмысленной.

Answer 4

Рекомендуется использовать подготовленные операторы, когда параметры отправляются на сервер. Не существует причины. И это абсолютный минимум, который вы можете сделать, чтобы предотвратить инъекцию SQL.

Конечно, если параметры не отправляются, SQL-инъекция не является проблемой.