PDO prepare 100% امن هست؟ [بایگانی]

View Full Version : PDO prepare 100% امن هست؟

navid3d_69

چهارشنبه 30 مرداد 1392, 01:17 صبح

سلام می خوام ببینم prepare در PDO 100% امن هست؟

111qqq

چهارشنبه 30 مرداد 1392, 01:33 صبح

منظورت از اینکه "PDO prepare 100% امن هست؟" چیه ؟؟؟؟؟
1) مگه پلاگین امنیتیه که امنیت ایجاد کنه!!
2) تا حالا چند جمله دیدی که 100% امنیت رو تعریف کرده باشن ؟؟ خودت میتونی تعریش کنی ؟؟ اصلا چیزی داریم که 100% امن باشه ؟؟؟؟
و
.
.
. :متفکر: ..... اقا بیخیال آره امنه ......... :قهقهه:

navid3d_69

چهارشنبه 30 مرداد 1392, 02:19 صبح

عزیز شما PDO رو تعریف کن آخه این چه جوری جوابی هست میشه بپرسم prepare برای چه کاری هست؟

شما اگر واقعا با PDO کار کرده باشین می دونید که متد prepare برای جلوگیری از sql injection استفاده میشه فکر کنم وقتی کلمه prepare رو گفتم نیاز نیست توضیح بدم که آیا برای sql injection امن هست یا خیر

حالا شما گیرت 100% هست خوب همه جا میگن 99% من هم میگم 99% حالا شما که اطلاعات دارید که از جوابی که دادین می تونم متوجه بشم که با اندازه کافی اطلاعات ندارید بگین 99% امن هست؟

AliRezaPro

چهارشنبه 30 مرداد 1392, 10:21 صبح

بخونبد , جالبه

http://stackoverflow.com/questions/134099/are-pdo-prepared-statements-sufficient-to-prevent-sql-injection

Unique

چهارشنبه 30 مرداد 1392, 14:19 عصر

اگه شما هر ورودی query حالا چه مستقیم همون موقع گرفته شده باشه یا قبلا ذخیره شده باشه را parametric استفاده کنید امکان injection وجود نداره. دلیلش اینه که به صورت مقدار هستند و eval نمیشوند ! شما با prepared ها همیشه در امان هستین اما در مقابل xss و حملاتی که بر اساس اطلاعات ذخیره شده صورت میگیره نه اینطور نیست.

navid3d_69

چهارشنبه 30 مرداد 1392, 14:23 عصر

این تاپیک فقط بحث sql injection هست .

توی شرایطی میشه انگار inject کرد ولی خوب راه هایی هم داره

111qqq

پنج شنبه 31 مرداد 1392, 01:53 صبح

بخونبد , جالبه

http://stackoverflow.com/questions/134099/are-pdo-prepared-statements-sufficient-to-prevent-sql-injection

AliRezaPro ... مممنون بایت پست قشنگت ..... و شما(سوال کننده ی عزیز) واقعا دنبال جواب میگردی ؟؟؟ همون لینک بالا واست کافیه .. که هم جوابت رو پیدا کنی و هم اینکه این تاپیک رو ادامه ندی ...!!

در کل من احساس میکنم شما منظورتوان از sql injection فقط تزریق تک کوتیشن (') یا دو کوتیشن (") هست .... اگه منظور شما اینه بله pdo در مقابل این دوتا امنه ....
اما شدیدا پیشنهاد میکنم تفکر و آگاهی خودتون رو راجع به sql injection با خوندن لینک دوست عزیزمون عوض کنی و بالا ببری
....... حالا به غیر اینکه بعضی ها اصرار دارن همه ی اون مباحثی که توی تاپیک ها وسایت های خارجی هست دوباره توی تاپیک های ایرانی تکرار کنن که یه بحث دیگریست ...... !!!!!!
به هر حال اگه از لحن صحبتم ناراحت شدی باید بگم منظور نداشتم
موفق باشد

navid3d_69

پنج شنبه 31 مرداد 1392, 13:00 عصر

بله در مورد تک کوتیشن و دو کوتیشن امن هست ولی این هم فکر می کنم مثل mysql_real_escape_string احتمال دور زدنش هست و به همون روش این جوری که من فهمیدم و با اعتبار سنجی دقیق تر میشه مشکل رو حل کرد
ببنید بعضی از مباحثی که توی تاپیک های خارجی هست اگر فارسی نشه برنامه نویسی ما با سرعت کمتری پیشرفت می کنه شما دقت کنید وقتی آقای شهرکی آموزش MVC گذاشت چقدر بحث ها درباره MVC زیاد شد در انجمن

من قبل از ایجاد این تاپیک توی گوگل سرچ گردم مطلب فارسی نبود و مطلب های زبان اصلی بود و این مطلبی هم علی رضا گفت رو خونده بودم و کلا همه جا چیز هایی مثل این رو گفته بودم ولی این تاپیک رو بشتر برای این ساختم که کسی اگر تجربه خاصی داره به اشتراک بزاره