Уязвимы ли такие конструкции(pdo)?

Question

dev400 @dev400

PHP

Уязвимы ли такие конструкции(pdo)?

Хочу вернуть количество записей по ключу

public function checkCode( $code ) {

        $sql = "SELECT `id` FROM `$this->table` WHERE `code` = '$code'";

        return $this->model->getCount( $sql );

    }

    /**
     * model
    /*
    public function getCount($sql) {

        return $this->connection->query($sql)->rowCount();

    }

Без подготовленного выражения такой код может быть чем то опасен?

Вопрос задан более трёх лет назад
182 просмотра

Комментировать

Подписаться 1 Оценить Комментировать

Решения вопроса 1

6 комментариев

dev400 @dev400 Автор вопроса

получается переписать как то так нужно даже такие простые вещи?

public function getCount($sql, Array $args) {

        $stmt = $this->connection->prepare($sql);
        if ( $stmt->execute($args) ) {

            return $stmt->rowCount();

        }
        return false;

//        return $this->connection->query($sql)->rowCount();

    }

public function checkCode( $code ) {

        $data = [
            'code' => $code
        ];

        $sql = "SELECT `id` FROM `$this->table` WHERE `code` = :code";

        return $this->model->getCount( $sql, $data );

    }

Написано более трёх лет назад

Алексей @alsopub

dev400: Ну да, примерно так. Или (если хочется без подстановок), валидировать $code. Если это число, то прогнать его через intval хотя бы, чтобы ганантировать что в нем не окажется ничего неожиданного.

Написано более трёх лет назад
dev400 @dev400 Автор вопроса

Алексей: код это md5, для уникальности. Но можно и в число переделать

Написано более трёх лет назад
Алексей @alsopub

dev400: Тогда на ваш выбор - или через подстановку pdo или проверить регуляркой типа /^[0-9a-f]+$/ . Однако fsockopen верно подметил - вы обходите штатный механизм pdo предназначенный для подстановок. Вместе с тем - валидировать полученные от пользователя данные тоже совсем не лишнее.

Написано более трёх лет назад
dev400 @dev400 Автор вопроса

Алексей: благодарю!

Написано более трёх лет назад
Алексей @alsopub

dev400: Незачто, удачи в разработках!

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 1

5 комментариев

dev400 @dev400 Автор вопроса

не понял

Написано более трёх лет назад
fsockopen @fsockopen

$this->connection->query($sql)...это обычный запрос из пхп к бд. тут pdo не причем

Написано более трёх лет назад
dev400 @dev400 Автор вопроса

fsockopen: ну $this->connection это объект pdo

Написано более трёх лет назад
fsockopen @fsockopen

ну значит метод не его)...потому что pdo предназначен не для того что бы пихать туда голый запрос написанный ручками

Написано более трёх лет назад
dev400 @dev400 Автор вопроса

fsockopen: это его метод php.net/manual/ru/pdo.query.php
PDO::query() выполняет SQL запрос без подготовки и возвращает результирующий набор (если есть) в виде объекта PDOStatement.

Написано более трёх лет назад