Как понять уязвим запрос к бд или нет?

Question

[Chesterfield25]

Является данный запрос подготовленным, защищен от sql инъекций или нет?

$currency = "LTC";
$stmt = $db->prepare("SELECT * FROM post_api WHERE `currency` = ?");
$stmt->execute([$currency]);
$post_api = $stmt->fetch(PDO::FETCH_ASSOC);

Comments

[Slava Rozhnev]

Да

Answer 1

[FanatPHP]

Понять очень просто.
Если в строке запроса есть переменные РНР, то инъекция теоретически возможна
Если в строке запроса нет переменных, то есть она представляет собой константное значение, то тут в принципе не может быть инъекции.
В запросе "SELECT * FROM post_api WHERE `currency` = ?" переменных нет. Значит инъекции тоже.
А подготовленный запрос или нет - это дело десятое.

Comments

[Aetae]

...в теории. Мы же не знаем что там в $db->prepare происходит. ;)

[Inviz Custos]

Aetae,

Мы же не знаем что там в $db->prepare происходит

Кто Вам такую глупость сказал?)
https://github.com/php/php-src/blob/master/ext/pdo...

[Aetae]

Inviz Custos,
1. Из кода, приведённого в вопросе, нельзя быть на сто процентов уверенным, что там внезапно не используется какая-нить своя обёртка.
2. Нельзя быть на сто процентов уверенным, что не используется версия содержащая критичную уязвимость.)

[FanatPHP]

Inviz Custos, не стоит обращать внимания, тут есть такие любители в лужу дунуть, которым ирл общения не хватает.

Answer 2

[sasmoney]

Ограничить длину вводимых данных и все

Comments

[Сергей Соколов]

..до нуля ограничить, если только )

[sasmoney]

Сергей Соколов, всеравно в районе 5-10 символов особо ничего не сделаешь..

[FanatPHP]

Скажите, зачем вы пытаетесь отвечать на вопрос, если даже прочесть его не можете?