これは安全ですか？ ADOdb準備文

Question

私はMSSQLデータベースへの接続にADOdbを使用しています。 SQLインジェクションを防ぐのに十分なのでしょうか？

私が使用していますプリペアドクエリは次のとおりです。

 $db = ADONewConnection('odbc_mssql'); 
     $dsn = "Driver={SQL Server};Server=SERVNAME;Database=DBNAME;"; 
     $ADODB_COUNTRECS = false; 

     $db->Connect($dsn,'LOGIN','PASS'); 

     $sql = 'SELECT login, etc FROM users WHERE login ='.$db->Param('0').' AND pass ='.$db->Param('1').''; 
     $stmt = $db->Prepare($sql); 
     $stmt = $db->Execute($stmt,array("$user_id","$psw")); 

ORあなたはおそらくPDOへの切り替えをお勧めですか？

Answer 1

なぜ誰もこれに答えることはできませんでした。私は思ったほど神秘的なやり方で働いています;）とにかく、私はある程度の自信を持ってこれに自分自身で答えることができるように十分に研究しました。

はい、mysql_real_escape_stringのが効果的に機能を脱出単なる文字列です：いくつかの賢明な人々が言っ​​ているようので、本質的に用意したクエリでそう

は、mysql_real_escape_string();としてエスケープだけ入力よりもはるかに安全です。それは魔法の弾丸ではありません。単一のクエリ文字列で安全に使用できるように、危険な文字をエスケープするだけです。ただし、事前に入力を害さないと、特定の攻撃経路に対して脆弱になります。完全な答えに

リンク：mysql_real_escape_string

だから私はエスケープ対私のプリペアドステートメントをテストするためにやっていること - 私はシンプルな提出フォームを作り、mysql_real_escape_string();で入力をサニタイズしようとしましたが、確かにそれはのような例を挙げて失敗しています"1 OR 1=1"、一部の人々はそのように単一引用符内のエスケープ値を追加することを示唆：

$クエリ= "mydbというSELECT * FROM WHERE ID = '"。。$ escapedID」'「;

"1 OR 1=1"の例を防ぐのに役立ちますが、確かにこれはベストプラクティスではありません。エスケープの問題は、クエリロジックを悪意のある方法で変更する人たちを守ることができないことです。

これから私はADODBの準備文に固執します。 SQLインジェクションに関する

$dbConnection = NewADOConnection($connectionString); 
    $sqlResult = $dbConnection->Execute( 
    'SELECT user_id,first_name,last_name FROM users WHERE username=? AND password=?' 
    , array($_POST['username'], sha1($_POST['password'])); 

他の非常に有用な質問：

• Code safe from injections
• I do not understand SQL Injection
• SQL Injection cheat sheet

上記の私の元の質問の1、または bobby-tablesウェブサイトからの短いバージョンと同様に

また、このビデオを見て、それが把握するSQLインジェクションは非常に簡単になります：

• SQL Injection Myths & Fallacies