View Full Version : ایا اگر از pdo استفاده نکنیم و از همون اتصال mysql استفاده کنیم سایت به راحتی هک میشه؟!
saeed-71
شنبه 21 تیر 1393, 13:56 عصر
سلام.ایا اگر از pdo استفاده نکنیم و از همون اتصال mysql استفاده کنیم سایت به راحتی هک میشه؟!
Veteran
شنبه 21 تیر 1393, 14:17 عصر
ببینید تمام امنیت سایت شما به کد نویسی و اون الگوریتم که شما پیاده سازی کردید برمیگرده! نه به توابع پی اچ پی! اصولی کار کنید تا به مشکل خاصی برخورد نکنید
saeed-71
شنبه 21 تیر 1393, 14:23 عصر
خوب برای sql injection اگر از تابع
PHP: mysql_real_escape (http://php.net/manual/en/function.mysql-real-escape-string.php)استفاده کنیم حله؟
Veteran
شنبه 21 تیر 1393, 14:48 عصر
بله،اما این توابع همونطور که توی سایت پی اج پی هم گفته شده منسوخ در اینده حذف میشن !
بهتره از PDO استفاده کنید که خودش Escape میکنه مقادیر رو با ویژگی prepare statement .
Unique
شنبه 21 تیر 1393, 15:12 عصر
در مورد SQL Injection خیلی بحث شده و اگه جستجو کنید توی پست ها روش های جلوگیری از SQL injection را خوایهد فهمید.
mysql extension در نسخه های بعدی php حذف میشه و اگه هاست شما به این نسخه ها upgrade کنه به مشکل میخورین. البته توی چنین شرایط حساسی تا یکی دو سال اکان استفاده از نسخه های مختلف روی هاس ها قرار داده میشه اما این نباید موجبات تنبلی بشه و بهتره خیلی زود به mysqli یا pdo مهاجرت کنید.
در مورد pdo و mysqli هم به شری استفاده از Parametrized Queries یا همون Prepared Statements مشکل injection نخواهید داشت و اگه بخواین به صورت inline همچون گذشته query بنویسید حتما با escape کنید که توابع مرتبطش هم وجود داره. در ضمن فراموش نشه مشکلات امنیتی که با خود Data در ارتباط هست مثل XSS هیچ ربطی به اینکه از چه extension ی استفاده میکنید نداره.
موفق باشین.
vBulletin® v4.2.5, Copyright ©2000-1403, Jelsoft Enterprises Ltd.