Так ли необходимо использовать плэйсхолдеры для избежания инъекций, или написанная собственноручно проверка входных данных будет более чем достаточна?

Question

[Vernal96]

Почитав статьи в интернете, все в один голос утверждают, что чуть ли не единственный способ избежать sql инъекций это использовать плэйсхолдеры. Везде приводится пример прямой подстановки переменных.
Но что если я сам, например, при приме id буду проверять, является ли он цифровым значением.
Или при приеме текстовой переменной, я могу использовать регулярные выражения и в итоге сделать вывод нормальные это данные или нет.

Comments

[Dmitry Bay]

плейсхолдеры? Они то тут каким боком?)

Answer 1

[neol]

Инъекции (как и любые распространённые типы уязвимостей) появляются не потому, что невозможно что-то сделать, а потому, что кто-то забыл, перепутал, опечатался или ошибся. Если у вас нет возможности накосячить (или она сведена к минимуму) - это в любом случае надёжнее, чем когда у вас есть возможность не накосячить. Именно поэтому подготовленные запросы считаются надёжнее любых проверок переменных, rust считается безопаснее C и т. д.

Answer 2

[Adamos]

Чем меньше программист должен думать над кодом - тем надежнее будет код.
Используя плейсхолдеры или более современные методы работы с базой, вы освобождаете свою голову от рутины (с которой компьютер справляется лучше человека) и можете сосредоточиться на действительно важных вещах.

А во-вторых, код, который никто никогда не правил - никому не нужный код. А тот, кто правит, может не знать, что тут везде раскиданы грабли и надо быть осторожным. Даже если это будете вы сами через год-два.

Answer 3

[Борис Сёмов]

Если вы имеете в виду prepared statments в PDO, то нет смысла их не использовать. А как вы будете дополнительно проверять свои входные данные (а это, в общем-то, делать всё равно надо), уже не так важно.

Answer 4

[fedot1325]

Можно не использовать плейсхолдеры и проверять весь юзер инпут, но будут проблемы, когда вы захотите получать строки.
А в чем проблема использовать плейсхолдеры?

Comments

[Vernal96]

Нет проблем. Просто интересно было

Answer 5

[Алексей Николаев]

Нет, не имеет. Это всего лишь защита от дурака, как и большинство прочих запретов (goto, eval, etc). Под капотом у вас все равно будет обыкновенное экранирование, если вы явно не включите серверные prepared statements.

Так что для 90% проектов с PDO практический разницы в плане защищенности от инъекций между плейсхолдерами и велосипедом с каким-нибудь sprintf - нет.

Answer 6

[Алексей]

Плэйсхолдеры не обязательно использовать. Проверять лучше всегда самому, а то вдруг там потом опять окажется какая-то уязвимость в исходниках :))))

Answer 7

[batyrmastyr]

Для чисел хватит и ручной проверки.
Для произвольных строк ручной проверки не хватит по нескольким причинам:
1) Экранировать нужно не пару символов и даже не десяток.
2) Помножим это на разнообразие кодировок и проверку существования пришедших символов в выбранной кодировке ("испорченные биты").
3) Даже подстановки силами PDO иногда не спасают.

Comments

[FanatPHP]

Перестаньте уже цитировать этот дурацкий и устаревший в прошлом десятилетии топик. Ну или хотя бы прочитайте его сначала. Там черным по белому написано, что если софт не устарел на 10 лет, то все прекрасно работает и подстановки отлично от всего защищают.

[batyrmastyr]

FanatPHP, вы бы сами его прочитали без пропусков в 3 экрана.
1) Использование PDO вместе с эмуляцией подстановок - уязвимо. Когда эмуляцию объявили устаревшей?
2) PDO без явного указания кодировки - уязвимо.
3) Мускульное mysql_escape_string уязвимо до версии 5.7.6. Да, сейчас уже есть 8-й мускуль, но многие ли ушли с «проверенных временем» 5.5 и 5.6?

[FanatPHP]

Очень забавный способ выборочного усвоения информации. К примеру, "Мускульное mysql_escape_string уязвимо" при использовании двойных кавычек. Каким боком тут уязвимость, если PDO::quote() использует одинарные? Учите английский и перечитайте этот текст через годик. Возможно, станет понятнее.

[batyrmastyr]

FanatPHP, с какой стати вы решили, что нужно ограничиваться PDO::quote, если это список актуальных пунктов из той статьи? Вам бы логику подучить не помешало.

[FanatPHP]

С той, что PDO::quote используется PDO при эмуляции подготовленных выражений. А речь в нашей высокоучёной дискуссии идёт именно о подготовленных выражениях. Внезапно.

[FanatPHP]

Чтобы немного сократить эту дискуссию, приведите пример, своими словами, как вы это понимаете, того случая, когда "подстановки силами PDO не спасают". А я объясню, почему это не так. Готовый пример инъекции приводить не нужно, это для вас будет слишком сложно. просто своими словами последовательность действий, которая якобы должна привести к уязвимости.