Нужно ли опасаться кавычек в БД?

Question

[Оптимус Пьян]

PHP+Mysql
Данные в БД добавляются через PDO (именованные плейсхолдеры), при заполнении поля input с кавычками например ООО "Рога и копыта" в БД оказывается эта фраза полностью именно в таком виде. При таком методе работы с базой нужно ли опасаться за кавычки и прочие потенциально опасные для sql символы?

Answer 1

[sunrails]

Второй пункт в списке php.net/manual/ru/pdo.prepared-statements.php

Comments

[Оптимус Пьян]

Это называется смотрю в книгу вижу фигу.
"Параметры подготовленного запроса не требуется экранировать кавычками"
Сразу вопрос что такое параметры запроса, в данном примере это только type=:type ?

$my = $pdo->prepare(' SELECT `email` FROM `organization` WHERE type=:type');
$my->bindParam(':type', $input);
$my->execute();

И это:
"однако, если другие части текста запроса записаны с неэкранированными символами"
Что такое "другие части текста запроса"? Т.е. какой например подготовленный PDO-запрос будет уязвимым?

[sunrails]

:type - параметр запроса
Что такое "другие части текста запроса"?
например это 'SELECT `email` FROM `organization`'

[Оптимус Пьян]

sunrails: Спасибо, но если я вместо `email` попытаюсь поставить $email просто так без всего, то вроде бы он будет плеваться ошибками и не выполнит запрос...

[sunrails]

Имеется ввиду что-то вроде:
$organization = '`organization`; DELETE FROM `organization`';
$select = 'SELECT `email` FROM ' . $organization

Answer 2

[sivabur]

Не нужно, вы же используйте плейсхолдеры. Но на если эти данные куда то в дальнейшем подсталяються передаются из базы то уже там контролируйте.

Comments

[Оптимус Пьян]

Ну вот я в комментарии к ответу sunrails задал уточняющий. Из базы они только отображаются на экран, а если меняются и опять в базу идут то у меня опять prepare и опять именованные везде. О каком случае уязвимости они тогда в доках пишут?

[sivabur]

тем более если там еще и prepare. Работал mysqli ну там все схоже с PDO.

[sivabur]

Дмитрий: не нашёл ничего про уязвимость в той доке.

[sivabur]

Дмитрий: была статейка на хабре такая фундаментальная. Как по факту нужно защищаться а использования одной PHP функции фильтра просто смешно.(обходиться на раз).

Answer 3

[Александр]

Если всё делаете через PDO - никакой опасности нет