Помогает ли PDO для защиты?

Question

[Эдуард]

Начитался уроков по PDO сделал так

$username="login";
$password="password";
$conn = new PDO('mysql:host=localhost;dbname=test_db;charset=utf8', $username, $password);
$pdo_updateText = $conn->prepare('UPDATE users SET text= :text WHERE email = :email');
$pdo_updateText ->execute(array(':text '   => htmlspecialchars($_GET['text ']),':email' => $_SESSION['email']));

Так вот появился хакер какой-то в базе sample@email.tst и начал писать скрипт js типа
<script> код prompt("92923") код</script>
в поле текста которое $_GET['text ']
ну вот у меня есть страница где я вижу все тексты от пользователей, и у меня исполняется этот код js.
Как так? PDO защищает только от mysql инъекций а от этого нет? Что в коде не так, можете помочь?

Comments

[Алексей Уколов]

Помогает ли PDO для защиты?

Лучшее средство защиты - понимание того, что и зачем происходит в коде, вместо слепого следования инструкциям из интернета.

[AlikDex]

$pdo_updateText ->execute(array(':text '   => htmlspecialchars($_GET['text ']),':email' => $_SESSION['email']));

Вот это говнокодище. В базу пишите все что вводит юзер, валидируя содержание предварительно для требуемого формата и используя фильры. htmlspecialchars используется при ВЫВОДЕ НА СТРАНИЦУ, а не при вводе в базу. Т.е. в шаблоне. PDO защищает от мускульных инъекций. Не более.

Answer 1

[Назар Мокринский]

PDO защищает только от mysql инъекций а от этого нет?

Совершенно верно. Prepared statements (не PDO) используются для безопасной вставки данных в БД. А если сами данные небезопасны - это уже совсем другой вопрос и решается совсем другими инструментами.

Answer 2

[SagePtr]

В данном случае это не SQL-инъекция, а XSS (вставка левого HTML-кода внутрь страницы). От XSS нужно защищаться другими способами - заменять опасные для HTML символы (треугольные скобки) на HTML-сущности.

Comments

[Adamos]

Денис Акимкин: Видимо, на той странице, где вы видите тексты пользователей, выполняется обратное преобразование.

[Adamos]

Денис Акимкин: Ну, если вы настаиваете, что вы не Эдуард, я готов поверить вам на слово ;)

[SagePtr]

Денис Акимкин: смотря что происходит с этими данными дальше. Если они выплёвываются в формате XML, а затем на стороне клиента парсятся и через функцию вроде innerHTML вставляются - то браузер их декодирует разок, думая, что закодированы они исключительно для того, чтобы через XML их передать.

Answer 3

[Алеша]

Мне кажется тут проблема не при вносе данных в базу, а при выдаче.
Где-то htmlspecialchars_decode срабатывает или что-то типа того.
Если в самой базе посмотреть, данные туда вбиваются с отработанным htmlspecialchars или как есть?
<script> код prompt("92923") код</script>
Такая запись в самой БД?

<script> код prompt("92923") код</script>gt;

Или такая?

Answer 4

[gomer1726]

Пропускай входные данные через эту функцию это xss атака

function namefunction($data){
		foreach($data as $key => $value){
			if(is_array($value)) namefunction($value);
			else $data[$key] = htmlspecialchars($value);
		}
		return $data;
	}

Comments

[trevoga_su]

иногда лучше жевать чем говорить

Answer 5

[trevoga_su]

AlikDex: в ответе на вопрос дал исчерпывающий ответ

ты путаешь защиту базы и XSS
читай до посинения - phpfaq.ru/tech/safety