php - PDO bindValue 不逃逸-6ren

php - PDO bindValue 不逃逸

转载作者：行者123 更新时间：2023-11-29 06:27:45

30

4

有些奇怪的事情正在发生，因为 PDO 应该逃避任何 XSS

这是我的 PDO 类

<?php
class Database {
    private $host = 'localhost';
    private $user = 'root';
    private $pass = '';
    private $dbname = '';

    private static $_instance;

    private $dbh;
    private $stmt;
    private $error;

    private function __construct() {
        if($this->dbh != null)
            return $this->dbh;

        $dsn = 'mysql:host=' . $this->host . ';dbname=' . $this->dbname;
        $options = array(
            PDO::ATTR_PERSISTENT => true,
            PDO::ATTR_ERRMODE => PDO::ERRMODE_WARNING, //ERRMODE_SILENT
            PDO::MYSQL_ATTR_INIT_COMMAND => "SET NAMES utf8",
        );
        try {
            $this->dbh = new PDO($dsn, $this->user, $this->pass, $options);
        }
        catch(PDOException $e) {
            echo '__construct -> ';
            var_dump($e->getMessage());
        }
    }
    private function __clone(){
    }

    public static function getInstance() {
        if(!self::$_instance) {
            self::$_instance = new Database();
        }
        return self::$_instance;
    }

    public function query($query) {
        try {
            $this->stmt = $this->dbh->prepare($query);
        }
        catch(PDOException $e) {
            echo 'query -> ';
            var_dump($e->getMessage());
        }
    }

    public function bindValue($param, $value, $type) {
        $this->stmt->bindValue($param, $value, $type);
    }
    public function execute() {
        try {
            return $this->stmt->execute();
        }
        catch(PDOException $e) {
            echo 'execute -> ';
            var_dump($e->getMessage());
        }
    }
}
?>

...这是一个将评论插入数据库的处理程序

        $this->db->query("INSERT INTO `comments` (`user_id`, `post_id`, `text`, `added`) VALUES (:user_id, :post_id, :text, :added)");
        $this->db->bindValue(':user_id', $user_id, PDO::PARAM_INT);
        $this->db->bindValue(':post_id', $recipe_id, PDO::PARAM_INT);
        $this->db->bindValue(':text', $_POST['text'], PDO::PARAM_STR);
        $this->db->bindValue(':added', time(), PDO::PARAM_INT);
        $this->db->execute();

并且输入没有被 "">'>''>"> alert(1);"转义

enter image description here

...那么 PDO 有什么问题？？

最佳答案

你混淆了不同类型的安全漏洞，它们具有相同的基本原理，但发生在不同的地方:

当攻击者诱骗您的代码构建对您的数据有副作用的 SQL 字符串时，就会发生 SQL 注入(inject)。例如，通过操作动态 WHERE 子句来执行 DROP TABLE 语句。
HTML 注入(inject)发生在攻击者欺骗您的代码构建包含您不希望的其他元素的 HTML 时，可能包括在用户浏览器上执行的脚本。
当您动态构建 JS 本身时，JS 注入(inject)再次遵循类似的模式。

针对所有这些问题的缓解措施都是相似的——要么将数据与代码隔离开来，使其永远不会被执行，要么转义会“脱离”预期标记的特殊字符。但是没有单一的一组转义符可以使字符串在所有上下文中都是安全的，您必须以正确的方式为您正在使用它的上下文准备它。

因此，在您的情况下，在 DB 层中使用参数化查询可防止 SQL 注入(inject)，但它与如何将数据包含在 HTML、JS 甚至 future 的 SQL 调用中无关——出现的文本是与输入的文本相同。

关于php - PDO bindValue 不逃逸，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/29907550/

30

4

0

文章推荐： java - 为什么 Bloch 声明不可能对集合实现进行子类化？

文章推荐： Mysql Foreach 从一个表到另一个表第 2 部分

文章推荐： PHP 显示来自 MYSQL 的文本

文章推荐： mysql - 带有命名空间的模型 - 错误的表名(没有命名空间)

pdo - PDO For Each 循环中的非法字符串偏移
PHP查询: prepare('SELECT * FROM Locations WHERE user_id = :id LIMIT 0, 5'); $query->bindParam(":id
php - PDO->bindParam、PDO->bindValue 和 PDO->closeCursor
到目前为止我一直在使用 PDO->bindParam 但是在阅读手册时我发现 PDO->bindValue 我可以告诉 PDO->bindValue 按值传递，而 PDO->bindParam 按引用
pdo - 带有特殊字符的 PHP PDO
我使用PDO进行MySQL数据库连接、选择、更新和删除。但是我在选择带有特殊字符的行时遇到问题，例如，我想选择带有“Judge-Fürstová Mila”的页面标题，表页， id titl
pdo - 为什么不能禁用 PDO::ATTR_EMULATE_PREPARES？
我使用的是 PHP 5.2.9 和 Apache 2.2.11 以及 mysql 5.1.32 为什么我不能禁用 PDO::ATTR_EMULATE_PREPARES ？下面是代码: false)
php - 使用 PDO::ATTR_PERSISTENT = true 时，PDO::exec 和 PDO::query 之间有区别吗？
当 PDO::ATTR_PERSISTENT = true 时，PDO::exec 和 PDO::query 之间似乎存在差异。当使用PDO::exec时，连接将不会被重用，并最终导致MySQL出现“
pdo - Zend PDO ODBC 数据库选择
我正在尝试调整 Zend Skeleton App 以使用 ODBC 连接。我能够在 Zend 之外设置 PDO 连接(同一个表、服务器、所有内容)，如下所示: new PDO('odbc:DRIVE
PHP PDO - 实例化 PDO 对象时使用未定义的常量变量
我正在使用 XAMPP 3.2.1 在 Windows 7 上使用 PDO，但在使其正常工作时遇到问题，即使它可以在我的共享托管服务器。 settings.php db.php setAttribu
php - PDO，使用带转义的 PDO 获取内容并回显它
我正在尝试使用以下代码从 get 变量中获取结果，我使用了另一个代码(在下面列出)并且它有效但是在使用它时无法逃脱，我不知道我有什么做错了，但我需要帮助，我刚刚开始 PDO，所以是的，我是个白痴 :D
php - PDO::setAttribute() 似乎不会影响新的 PDO()？
我有这个代码 try { $dbh = new PDO('mysql:host=localhost;dbname=db_informations', 'root', ''); $dbh
php - PDO 忽略共享主机上的 PDO::CASE_NATURAL
在我的本地开发机器 (MAMP) 上，我的 MySQL 查询返回正确的大小写。但是，在我的共享托管服务器上，使用 fetch(PDO::FETCH_ASSOC); 时，我的结果是小写的我试过以下方法
php - PDO:PDO::MYSQL_ATTR_INIT_COMMAND 中的多个命令
我正在使用这个 PDO 连接: try{ $db=new PDO(" mysql:host=localhost; dbname=...", "dbu...", "pass", array(PDO::M
PHP PDO - 无法序列化或反序列化 PDO 实例
我需要将 PDO 连接从 controller 传递到 cart 类， function __construct($connection) { $this->cart = new cart($
php - PDO 事务是否涵盖 PDO::query()？
位于 PHP.net 的 PDO 交易示例表明 PDO::exec() 是事务处理的，但是没有这样的例子使用 PDO::query()。事务是否涵盖 PDO::query()？此外，据我所知，PD
pdo - MAMP Pro 和 PDO-dblib
几天来我一直在使用来自 http://www.mamp.info 的 MAMP Pro 3.07 . 很棒的工具，一切正常。但是现在我遇到了问题，对于一个新项目，我需要连接到 MSSQL。我在 w
pdo - 使用 PDO 连接 Mysql 数据库不起作用
我正在尝试在我的 PHP 代码中使用 PDO 模块来连接到数据库。我已经阅读并搜索了类似的主题，但我无法弄清楚我做错了什么。请帮我解决问题。 Apache版本:Apache/2.2.21 (Win32
php - 在 PDO 连接字符串中使用常量并使用 PDO 连接调用函数
这个问题不太可能帮助任何 future 的访问者；它只与一个小的地理区域、一个特定的时间点或一个非常狭窄的情况有关，这些情况并不普遍适用于互联网的全局受众。为了帮助使这个问题更广泛地适用，visit
php - PDO::exec 还是 PDO::execute？
我使用 PDO 连接到我的数据库，我不知道哪种方法比更新、删除和插入、PDO::exec 或 PDO::excute 的另一种方法更好。我应该使用哪个？最佳答案虽然这两种方法具有相似的命名(exe
pdo - 如何在 Codeigniter 中将属性设置为 PDO 连接
如何在 Codeigniter 中设置 PDO 数据库句柄的属性(PDO::ATTR_ERRMODE)？最佳答案我认为更好的选择是使用 MY_Model(然后您对其进行扩展，然后它在整个应用程序中
php - PDO fetch 方法改变了 pdo 对象本身
从 mysql 切换到 PDO 我注意到 fetch 方法改变了 PDO 对象本身!例如: $res=$ps->fetchAll(); echo($res[0]['Mail']); //it'ok /
php - 为什么我的 PDO 对象返回对象(PDO)[2]
嗨，我正在使用 PDO 为 mysql 开发一个基本的数据库连接类，但是当我 var dump 返回结果时，它告诉我我有 2 个对象:object(PDO)[2]。不应该只有一个吗？这是迄今为止我的

首页

博学

6Ren·AI

商城

php - PDO bindValue 不逃逸