В каких ситуациях можно обойтись без плейсхолдеров в запросе?

Question

[TerryBear]

Недавно начал изучение pdo, и был крайне удивлен насколько легко можно защитить свою бд от инъекций (плейсхолдеры и белые списки). Но! Возник вот такой вопрос: абсолютно ли все значения необходимо защищать плейсхолдерами, или же их разумно будет использовать только при передаче в запрос значений непосредственно от юзера?
Вот пример, в котором пользователь даже никак не влияет на данные запроса, однако, человек зачем-то закрыл id:

// получение названия категории по её ID
    function readName() 
    {

        // Запрос
        $query = "SELECT name FROM " . $this->table_name . " WHERE id = ? limit 0,1"; 

        // подготавливаем запрос
        $stmt = $this->conn->prepare($query);

        // присваиваем плейсхолдеру значение
        $stmt->bindParam(1, $this->id);

        // отправляем запрос
        $stmt->execute();

        $row = $stmt->fetch(PDO::FETCH_ASSOC);

        $this->name = $row["name"];
    }
}

Answer 1

[humoured]

Использовать плейсхолдеры нужно везде, даже там, где казалось бы, нет обработки пользовательских данных.

Нельзя быть уверенным, что пользователь никак не повлияет на значения. Для приведённого кода функции readName может существовать миллион ситуаций, когда значение переменной $this->id перезаписывается некорректными данными.

Answer 2

[SymphoGraph]

Обойтись без плейсхолдеров можно в случаях, когда вы точно уверены в типе, валидности и происхождении данных.
На начальных этапах следить за этим не сложно. Но ваше приложение будет развиваться и расти. Помнить что где и откуда станет труднее. В моей практике и вовсе был случай, когда я, допустив ошибку, сам себе сделал инъекцию после которой пришлось поднимать бд из бэкапа.
Сам процесс принятия решения плейсхолденить или не плейсходерить - уже когнитивный труд. А трудолюбие обратно пропорционально интеллекту. Проще всё всегда плейсхолдерить и жить спокойно. При этом освободившийся ресурс мозга найдет себе более рационально применение.

Answer 3

[Adamos]

Здесь уместна логика, как в анекдоте про бармена, который каждый день наливал проверяющему 90 грамм вместо заказаных ста. "Мне выгоднее тебе каждый день штраф платить, чем руку сбивать". Вот и программисту должно быть больно видеть приведенную конструкцию, а время, потраченное на рассуждения о том, безопасна она или нет, лучше потратить с большей пользой.

Comments

[TerryBear]

Хороший анекдот. Но все же я считаю, что хорошему программисту следует изучать подобные подробности и мелочи, ведь только через них и появляется полноценная картина изучаемой области.

[Adamos]

TerryBear, вы здесь видите противоречие?
Изучать - естественно, но хорошие привычки нужно заводить сразу.

[TerryBear]

Adamos, В ваших словах противоречий я не увидел. Однако, фразу:

время, потраченное на рассуждения о том, безопасна она или нет, лучше потратить с большей пользой.

считаю в корне не верной, по причине, которую описал выше.

[Adamos]

TerryBear, а вот я вижу тут противоречие. Изучение дает вам полное представление о том, какие опасности может повлечь отказ от плейсхолдеров, и на него стоит тратить время.
Но обсуждение конкретного заданного вами вопроса - это не изучение. Это торг.

[TerryBear]

Adamos, проблема в том, что в абсолютном большинстве статей (которые направлены на новичков в теме pdo) я встречаю фразы по типу этой:

Разумеется, подстановка данных через плейсхолдеры должна производиться **всегда**, вне зависимости от источника данных или каких бы то ни было других условий.

.
Мир и время, в которых я живу, - приучили задаваться в любой не очевидной для меня ситуации, вопросами: "почему" и "зачем". От того я и задаю соответствующие вопросы:

В каких ситуациях можно обойтись без плейсхолдеров в запросе?

, ожидая в ответах участников увидеть, те самые "почему". Если вы читаете в этом какой-то абстрактный торг, то можете больше ничего отвечать. Во всяком случае я с вами дискуссию прекращаю, так как вы на поставленные вопросы отвечать не желаете.

[Adamos]

TerryBear, так знающему про SQL Ingection ничего больше для обоснования этого "разумеется" и не требуется. Может обманывать примитивность запросов в учебниках, где ясно видно, что инъекция невозможна, но надо же понимать, что в работе все сложнее. Табу на вставку чего бы то ни было мимо плейсхолдеров позволяет больше не тратить на этот вопрос ни нервные клетки, ни время.

Вообще, насчет плейсхолдеров есть прекрасный пример тут: https://phpfaq.ru/safemysql - хоть и давно написанная, эта библиотека продолжает оставаться простым и надежным способом работы с MySQL, избавляющим от рутины и позволяющим сосредоточиться на логике запросов. Единственный ее недостаток - такие запросы не понимают IDE...