Верно ли я понимаю, что в данном случае фильтровать ввод не нужно?

Доброго утра.
В конфиг, в БД, в сериализованном виде (особенность платформы) сохраняется значение, которое может быть введено пользователем. SQL-инъекции тут исключены, т.к. сериализация происходит до запроса в базу данных (плюс там плейсхолдеры). После извлечения из БД и после десериализации, мы всегда будем иметь дело со строкой или с массивом - главным образом, в сравнении. Эти данные нигде не будут выводиться, и не будут исполнены как код (т.к. строка или массив строк).

Верно ли я понимаю, что в данном случае можно вообще не заморачиваться с какой бы то ни было фильтрацией и проверками? Ведь если строка нигде не выводится и не обрабатывается, атака становится просто невозможной - максимум сравнение не пройдет.

Заранее спасибо.
  • Вопрос задан
  • 255 просмотров
Пригласить эксперта
Ответы на вопрос 4
Sanasol
@Sanasol Куратор тега PHP
нельзя просто так взять и загуглить ошибку
gobananas
@gobananas
finishhim.ru
SQL-инъекции тут исключены, т.к. сериализация происходит до запроса в базу данных

Неверно понимаете, фильтровать всё равно нужно. Сериализация не даёт вам защиты
Ответ написан
madmages
@madmages
Человек прямоходящий
сериализация не экранирует кавычки так как делает это mysql. Тоесть если вкатить sql иньекцию то она пройдет сквозь сериализацию
Ответ написан
trevoga_su
@trevoga_su
что за плейсхолдеры? какая обертка? pdo?
SQL-инъекции тут исключены, т.к. сериализация происходит до запроса в базу данных
однако соблюдение синтакиса SQL никто не отменял - строка в кавычках и экранирование спец символов
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы