Для чего нужно использовать парметр PDO::PARAM_INT в функции bindParam() ?

Question

[Андрей]

Взять к примеру такие строки:

$sth = $dbh->prepare('SELECT * FROM fruit WHERE calories < ? AND colour = ?');
$sth->bindParam(1, $_POST['calories'], PDO::PARAM_INT);
$sth->bindParam(2, $_POST['colour'], PDO::PARAM_STR);

Поля в таблице имеют типы int(11) и text соответственно. Если число будет намеренно испорчено на клиенте, то оно не сохранятся в базе, а провести инъекцию через PDO, как я понял, нельзя.

Так для чего нужно использовать параметры PDO::PARAM_INT и PDO::PARAM_STR при передаче значений переменных в запрос? Что тут можно такого вредного и неправильного передать в базу?

UPDATE

конечно же, в настройках соединения прописано
PDO::ATTR_EMULATE_PREPARES => false

Answer 1

[FanatPHP]

Для начала ответим на вопрос буквально:

конечно же, в настройках соединения прописано
PDO::ATTR_EMULATE_PREPARES => false

В этом случае - вообще незачем.
Если эмуляция отключена, то можно вообще никогда не указывать тип.

Правда, насчет "конечно" ты поторопился. Ничего "конечного" в отключении эмуляции нет - оба варианта одинаково безопасные.

И вот если эмуляцию включить, то как раз и возникнет единственный случай, когда придется биндить с указанием типа: если у тебя в запросе передаются параметры в LIMIT. Если в запросе есть оператор LIMIT и в него передаются параметры, то их надо обязательно биндить через PDO::PARAM_INT - иначе запрос выдаст ошибку.
Мало того - передаваемые данные надо самостоятельно привести к типу int - PDO это за тебя делать не будет!

Теперь ответим в общем, объясняя твои многочисленные заблуждения:

1. Как тебе уже объяснили выше, инъекция - это не про сохранение в базе. Это именно про выполнение запроса. Так что тип поля в БД не имеет значения.
2. Инъекцию через PDO провести нельзя только если на 100% соблюдается условие "любые данные попадают в запрос только через плейсхолдеры" - просто самим фактом своего присутствия PDO ничего ни от кого не защищает. Кстати, соблюдение этого правила не так просто, как кажется. Решение для большинства нетривиальных случаев можно посмотреть здесь: phpfaq.ru/pdo
3. Самое важное: если мы используем плейсхолдеры, то все остальное уже неважно. Указывай какой хочешь тип, или не указывай вовсе - инъекции не будет. То есть, к безопасности твой вопрос про указание типа отношения не имеет.
4. Если ты не указал тип, то по умолчанию берется PDO::PARAM_STR. Это очень удобно, поскольку БД (по крайней мере - mysql) всегда корректно обработает любые данные, если они переданы, как строки

Так что, я думаю, что ты теперь и сам можешь ответить на вопрос, "зачем указывать тип".
И будешь писать просто

$sth = $dbh->prepare('SELECT * FROM fruit WHERE calories < ? AND colour = ?');
$sth->execute([$_POST['calories'],$_POST['colour']]);

Comments

[Андрей]

То есть незачем?

Answer 2

[Владислав]

PDO::PARAM_INT говорит о том, что $_POST['calories'] является числом.
PDO::PARAM_STR говорит о том, что $_POST['colour'] является строкой.

Comments

[FanatPHP]

Не говорит ни разу.

Answer 3

[Александр Аксентьев]

инъекция и не должна сохраняться в базу. Он один раз отработала и всё.
передадут вам вместо $_POST['colour']
Что-то вроде
red'; drop database information_schema;
Выполнятся оба запроса и печаль наступит.

Поэтому вы указываете какого типа должна быть переменная, и ПДО её экранирует так чтобы не произошло гадостей.

Comments

[Андрей]

Как я знаю "red'; drop database information_schema;" никоим образом не может перемешаться с синтаксисом запроса в prepare, так как данные в базу будут идти вообще отдельным от запроса потоком. Разве нет?

[Александр Аксентьев]

@dasty: Тонкостей не знаю, но знаю что prepare без бинда делает простую обработку на уровне strip/add slashes и html entities. И знаю что для обхода этих двух функций существуют методы - продавались(возможно и до сих пор продаются) на "черном" интернет рынке. Поэтому prepare не спасет от инъекций. drop для примера привел первое что пришло в голову, я имел в виду если использовать без pdo вообще, то можно получить такое :)

[FanatPHP]

Ахахахаха! "черный рынок!" "html entities"! Ой, не могу! :))) Откуда ж вы такие беретесь, незамутненные? :))) Александр Аксентьев: Найди в интернете анекдот про месячные и "я конечно не профессор" - один в один про тебя. "Тонкостей не знаю", гы гы.

[FanatPHP]

Сохраню для истории - а то вдруг удалит, и будет непонятно, над чем я угораю.

Александр Аксентьев. Тонкостей не знаю, но знаю что prepare без бинда делает простую обработку на уровне strip/add slashes и html entities. И знаю что для обхода этих двух функций существуют методы - продавались(возможно и до сих пор продаются) на "черном" интернет рынке. Поэтому prepare не спасет от инъекций. drop для примера привел первое что пришло в голову, я имел в виду если использовать без pdo вообще, то можно получить такое :)

[Александр Аксентьев]

@FanatPHP: А вы-то откуда такой взялись. Ни одного ответа по делу. Зачем вы посещаете этот ресурс со своими ответами в стиле "идите в гугл". Пожалуйста база уязвимостей про которую я говорил, там можно купить много интересного 1337day.com/platforms/php

[FanatPHP]

Мальчик :) Если ты не понимаешь, в чем заключается уязвимость, то тебе никакая база не поможет :) Хватит позориться уже.