Верно ли я понимаю, что в данном случае фильтровать ввод не нужно?

Question

[Алексей Николаев]

Доброго утра.
В конфиг, в БД, в сериализованном виде (особенность платформы) сохраняется значение, которое может быть введено пользователем. SQL-инъекции тут исключены, т.к. сериализация происходит до запроса в базу данных (плюс там плейсхолдеры). После извлечения из БД и после десериализации, мы всегда будем иметь дело со строкой или с массивом - главным образом, в сравнении. Эти данные нигде не будут выводиться, и не будут исполнены как код (т.к. строка или массив строк).

Верно ли я понимаю, что в данном случае можно вообще не заморачиваться с какой бы то ни было фильтрацией и проверками? Ведь если строка нигде не выводится и не обрабатывается, атака становится просто невозможной - максимум сравнение не пройдет.

Заранее спасибо.

Answer 1

[Александр Аксентьев]

неверно

Answer 2

[Дмитрий Дарт]

SQL-инъекции тут исключены, т.к. сериализация происходит до запроса в базу данных

Неверно понимаете, фильтровать всё равно нужно. Сериализация не даёт вам защиты

Comments

[trevoga_su]

Сериализация исключает в данном случае инъекции. SQL просто сломается.

Answer 3

[sasha]

сериализация не экранирует кавычки так как делает это mysql. Тоесть если вкатить sql иньекцию то она пройдет сквозь сериализацию

Answer 4

[trevoga_su]

что за плейсхолдеры? какая обертка? pdo?
SQL-инъекции тут исключены, т.к. сериализация происходит до запроса в базу данных
однако соблюдение синтакиса SQL никто не отменял - строка в кавычках и экранирование спец символов