Хочу перенести сайт с mysql на PDO или mysqli прочитал много статей хочу внести ясность по некоторым пунктам?

Question

[ВладиМИР]

Переход осуществляю только потому что хочу обезопасить сайт от иньекций. На сайте много файлов с запросами типа:

$a=$_SESSION['name'];
$res=mysql_query("SELECT * FROM `messages2` WHERE `komy`='$a'");

$idfilm=$row['idfilm'];
$com=mysql_query("SELECT * FROM `komment` WHERE idfilm=$idfilm ORDER BY `id`");

$query="INSERT INTO `rus` (`idvol`,`reyting`,`name`,`vol`,`file`,`kto`,`rey`,`data`,`orderdate`) 
  VALUES('$ro','$reyting','$name','$vol','$file','$kto','$hj',CURDATE(),DATE_ADD(NOW(), INTERVAL 6 DAY)) ";

Запросы впринципе несложные, многие сайты склоняются за PDO ,но я бы хотел работать с mysqli:
-cтарый знакомый синтаксис
-проще переделать с mysql
-не собираюсь даже в будущем использовать др бд
Единственное что - это защита, но читал на сайте есть хункции-хелпера они понятные и простые, типа:

user = $db->getRow("SELECT * FROM users where name=?s",$_POST['name']);

Может ли такой вид обезопасить сайт от иньекций? или лучше выбрать все таки PDO?

Comments

[Северное Сияние]

Почитай документацию. Что такое PDO, что такое mysqli и как все это работает и чем отличается. Для начала..

[vaflya]

https://youtu.be/gUgtft0hTps

там пару коротких упоков, покажет как использовать PDO и placeholder. Этого по началу наверно достаточно, чтобы обезопасить себя от инъекций.

И первое правило, в строку sql запроса НИКОГДА не подставляй напрямую переменную.
Тем более полученную от пользователя.

[vaflya]

скинул ссылку на карал -> плэйлист пишем свой движок и найди по заголовкам PDO или что то на подобие

[Игорь Воротнёв]

INSERT INTO `rus` (`idvol`,`reyting`,`name`,`vol`,`file`,`kto`,`rey`,`data`,`orderdate`) 
VALUES ('$ro','$reyting','$name','$vol','$file','$kto','$hj',CURDATE(),DATE_ADD(NOW(), INTERVAL 6 DAY))

Я бы еще обратил пристальное внимание на naming conventions. Потому что в текущем состоянии это адище...

Answer 1

[alekseyHunter]

Может ли такой вид обезопасить сайт от иньекций?

За код первых запросов хакеры вам скажут спасибо, им софт уже найдет уязвимость.

Последний запрос такой же уязвимый, т.к. вы напрямую берете данные из массива.

Ошибки:

• Вы не проверяете значение, которое содержится в POST/SESSION (тип данных, пустая строка)
  
• Вы не проверяете регуляркой эти данные
  
• Вы не используете параметрические запросы
  

Для наглядности простой пример:

function registration($link,$login,$password,$email) {
	$newlogin = preg_replace('%[^A-Za-zА-Яа-я0-9]%', '', $login);
	$newpassword = preg_replace('%[^A-Za-zА-Яа-я0-9]%', '', $password);

	if($newlogin !=$login || $newpassword != $password) 
                return false;

		$pass = md5($newpassword);

		check_input_data($link,$login,$email); //Кидает ошибку, если логин уже есть в базе

		$stmt = mysqli_prepare($link, "INSERT INTO users (login,password) VALUES (?, ?)");
		mysqli_stmt_bind_param($stmt, 'ss', $newlogin, $pass);

		mysqli_stmt_execute($stmt);

		if(mysqli_stmt_affected_rows($stmt)==1) {
			$user_id = get_user_id($link,$newlogin);
//Что-то делаем
    } else {
      return false;
    }
      mysqli_stmt_close($stmt);

      return true;
}

Comments

[ВладиМИР]

сложно и громоздко, но я готов во всем разобраться если буду уверен что безопасность будет гарантирована не хуже чем на PDO (ведь это так?) все таки mysqli как то ближе по родству.

[alekseyHunter]

ВладиМИР (о__О), у них разница только в подходе. PDO - ООП, mysqli - процедурный подход.

[ThunderCat]

alekseyHunter, гонево

[alekseyHunter]

ThunderCat, а можно без ссылок объяснить? Да, mysqli тоже может использовать объекты, но у меня в примере использован процедурный подход, так что разница есть.

[ThunderCat]

alekseyHunter, можно, mysqli абсолютно так же как и пдо может быть в ООП стиле.

$mysqli = new mysqli("example.com", "user", "password", "database");
if ($mysqli->connect_errno) {
    echo "Не удалось подключиться к MySQL: " . $mysqli->connect_error;
}

$res = $mysqli->query("SELECT 'выбора, чтобы угодить всем.' AS _msg FROM DUAL");
$row = $res->fetch_assoc();
echo $row['_msg'];

[ThunderCat]

alekseyHunter,

у них разница только в подходе.

но у меня в примере использован процедурный подход, так что разница есть.

Это не у них разница есть, а у вас.

[alekseyHunter]

ThunderCat, 好。 Все равно разница есть - PDO только ООП, mysqli ООП+Процедурный стили :D

[vism]

хахаха, тостер, джуны отмечают ответы джунов.
Самый слабый ответ из всех )))

[alekseyHunter]

vism, критикуешь - предлагай, предлагаешь - делай, делаешь - отвечай.

[DevMan]

alekseyHunter, для спокойствия достаточно подготовленных выражений. валидация - не имеет отношения к базе данных.

[alekseyHunter]

DevMan, ajax-скрипты всегда доступы для просмотра, можно отправить собственный запрос, а значит без проверки на стороне сервера сайту придется плохо.
Придет пустая строка в запрос с условием выборки по имени. Что из БД вернется? Правильно, все данные.

$stmt = mysqli_prepare($link, "SELECT * From book Where name like CONCAT('%',?,'%')");
	mysqli_stmt_bind_param($stmt, 's', $query);
	mysqli_stmt_execute($stmt);
    mysqli_stmt_bind_result($stmt, $id, $name, $year, $count_books);

[vism]

alekseyHunter, правильно, потому что давно придумали PDO. но можно и валидацию зарукожопить )))))

Answer 2

[Adamos]

Если сайт совсем не вариант переписать на чем-нибудь нормальном (в вашем спагетти проблема не только в запросах) - можно как паллиатив использовать phpfaq.ru/safemysql
Но не валяйте запросы по коду, соберите их в классы, работающие с конкретными таблицами и выполняющие абстрагированную от конкретного запроса работу. Так легче будет и сопровождать код, и развивать его дальше.

Comments

[alekseyHunter]

соберите их в классы, работающие с конкретными таблицами и выполняющие абстрагированную от конкретного запроса работу.

Adamos , можно, пожалуйста, пример?

Вы говорите о классе, которому будут передаваться в качестве аргументов запросы с их параметрами, а тот в свою очередь будет возвращать данные?

[Adamos]

alekseyHunter, нет, я говорю о классе, скрывающем все запросы к БД от внешнего кода. Вы должны запрашивать просто RusTable::add($data), а уже внутри этой функции выполняется подключение к БД и INSERT в нее.
Подключение можно вынести в конструктор класса или вовсе в синглтон, главное - чтобы всего этого низкоуровнего кода в принципе не было в скриптах, генерирующих страницы сайта.

[alekseyHunter]

главное - чтобы всего этого низкоуровнего кода в принципе не было в скриптах, генерирующих страницы сайта.

Adamos, а если использовать паттерн/архитектуру MVC? В моделях будут реализованы все функции для работы с БД, а в представлениях будем только вызывать их.

Вы должны запрашивать просто RusTable::add($data), а уже внутри этой функции выполняется подключение к БД и INSERT в нее.

Спасибо, понял, у меня так реализован класс для работы с SQLite на андроиде.

fun updateSkill(db: SQLiteDatabase?,id: Int?, name: String, time: String) {
        val cv = ContentValues()

        cv.put(C_SKILLS_NAME, name)
        cv.put(C_SKILLS_PROGRESS, time)

        db?.update(TABLE_SKILLS, cv, "$C_SKILLS_ID = ?", arrayOf(id.toString()))
    }

[Adamos]

alekseyHunter, для использования MVC логично подобрать фреймворк, уже ее использующий, и не изобретать велосипедов.

[alekseyHunter]

и не изобретать велосипедов

Adamos, в университете все ручками пишем, чтобы понимать работу изнутри)

MVC логично подобрать фреймворк, уже ее использующий

К сожалению, с такими не знаком. Можете посоветовать?

[Adamos]

alekseyHunter, затруднюсь назвать современный РНР-фреймворк, НЕ использующий MVC.

[Vitsliputsli]

alekseyHunter,

В моделях будут реализованы все функции для работы с БД, а в представлениях будем только вызывать их.

У вас неправильное представление о MVC. Модель это любая логика, не только работа с БД, а представление работает с уже подготовленными в модели данными.

[DevMan]

Adamos, тебя макогон покусал штоле? тот же самый автор уже давно топит за пдо (если читать в оригинале, а не переводе).

Answer 3

[Vitsliputsli]

PDO лучше только в плане универсальности (драйвера, а не вашей работы, это не ORM), mysqli как специализированный драйвер к примеру более производителен (несущественно). Защиту от sql инъекций вам дадут только подготовленные запросы, где вы их будете применять, в pdo или mysqli, без разницы.
Но все современные orm и просто обертки пишутся для PDO. Про mysqli забыли. Нативная работа с mysqli ужасна, т.к. очень устарела, эксепшены отсутствуют, да и порой просто не очень адекватна.

Answer 4

[ozornick]

Поверьте мне, переходите на PDO. Сам как-то пробовал адаптировать старый скрипт и все закончилось PDO. Кода напишите столько же, но выгоднее юзать pdo. Все равно вы придете к одному - работа с mysql. Считаю mysqli "обмен шило на мыло"

Comments

[lubezniy]

В PDO, в отличие от mysqli, нет асинхронных запросов. Так что, если они на перспективу могут потребоваться, стоит рассмотреть mysqli. А так да, PDO удобно и универсально. Если думать о фреймворках вроде yii2, то у них есть и свои средства работы с БД; там могут быть доп. возможности вроде работы с master и slave-серверами; тут тоже, возможно, есть над чем поразмыслить.

[DevMan]

lubezniy, я всё надеюсь, что их подвезут в пдо.
а если и не подвезут, то в mysqli они, как и все остальное, реализовано настолько альтернативной логикой, что я предпочитаю использовать сторонние средства работы с бд.