हम कैसे जानते हैं कि पीडीओ एसक्यूएल इंजेक्शन से बच रहा है?

Question

मैं पीडीओ पुस्तकालयों के साथ नौसिखिया हूँ। मैं अपने डेटाबेस के रूप में mysql के साथ विकास पर्यावरण पर काम कर रहा हूं। मैं "?" का उपयोग करते समय तैयार और निष्पादित फ़ंक्शन का उपयोग करके अपने प्रश्नों को चलाने में सक्षम हूं प्लेसहोल्डर और नामित प्लेसहोल्डर्स का उपयोग करते समय बाइंड पैराम विधि (उदा: ": कॉलम")।

इसके बाद मैंने यह देखने की कोशिश की कि क्या पीडीओ mysql_real_escape_string करता है जैसे क्वेरी को स्वच्छ करने के लिए किसी भी उद्धरण को डालकर किसी भी तरह से बच निकलता है। मैं यह देखने की कोशिश कर रहा हूं कि क्वेरी क्या दिखाई देगी लेकिन मुझे जो भी मिलता है वह वह बयान है जिसे तैयार कथन में पारित किया गया है, लेकिन वह क्वेरी नहीं जिसे निष्पादित किया जाएगा।

मैंने $ result-> निष्पादन(), और $ परिणाम-> fetch() को var_dump करने की कोशिश की लेकिन निष्पादन कथन मुझे मेरे धारक के साथ मेरे तैयार कथन का एसक्यूएल देता है जबकि fetch स्टेटमेंट मुझे उस क्वेरी का परिणाम देता है।

क्या खोज क्वेरी को देखने का कोई तरीका है, या कम से कम क्वेरी चलाने से पहले पैरामीटर कैसे दिखेंगे ??

मुझे आशा है कि मैं अपने प्रश्न के साथ स्पष्ट कर रहा हूँ। : |

Answer 1

अनुरोध भेजें:

$stmt = $pdo->prepare('SELECT * FROM tbl_name WHERE col_name = :col_name;'); 
$stmt->bindValue('col_name', 'some \' value'); 
$stmt->execute(); 

वास्तविक क्वेरी है ... SELECT * FROM tbl_name WHERE col_name = :col_name;। इसे तैयार कथन कहा जाता है। सबसे पहले, आप डेटाबेस को क्वेरी भेजते हैं, बाद में आप क्वेरी पैरामीटर भेजते हैं। पीडीओ क्वेरी और पैरामीटर मर्ज नहीं करता है।

आप शायद सोचा है कि PDOStatement::bindValue() की तरह कुछ करता है:

public function bindValue($placeholer, $value, $valueType = PDO::PARAM_STR) { 
    $this->query = str_replace($placeholder, $this->quote($value, $valueType), $this->query); 
} 

लेकिन यह नहीं करता है। - कुछ आवेषण कर

public function execute() { 
    try { 
     $this->sendQueryToDatabase($this->query); 

     // Query is valid 
     $this->sendParametersToDatabase($this->parameters); 

     return $this->fetchResultSet(); 
    } catch (... $e) { 
     // Query is invalid (eg. syntax error) 
     throw ...; 
    } 
} 

Read more about Prepared Statements

Answer 2

बयान तैयार mysql से संभाल नहीं है, इसलिए पीडीओ अनुरोध से बच नहीं है, पीडीओ जब आप की तरह कुछ लिखने "के बाद" पैरामीटर

Answer 3

सामान्य क्वेरी लॉग सक्षम करें, और प्रश्नों वास्तव में सर्वर जब आप सरल बयान चला रहे हैं के खिलाफ निष्पादित किया जा रहा देखने के लिए:

इसे और अधिक ऐसा ही कुछ होता है , उदाहरण के लिए, एम्बेडेड कोट्स या नल्स युक्त तारों के साथ।

Answer 4

इसे सीधे रखने के लिए।

1. मूल निवासी मोड:

   पीडीओ तैयार बयान चलाने का 2 मोड हैं। डेटाबेस से-pa-ra-te-ly पर क्वेरी और डेटा भेजा जा रहा है। जिसका अर्थ है कि डेटा कभी भी क्वेरी में जोड़ा जा रहा है। तो, कोई नुकसान नहीं किया जा सका। कभी। ? अंकों के साथ डेटाबेस को भेजी जाने वाली क्वेरी (लेकिन नामित प्लेसहोल्डर जिन्हें पीडीओ द्वारा ? एस के साथ प्रतिस्थापित किया जा रहा है)

2. संगतता मोड। पीडीओ बाध्य चर के साथ प्लेसहोल्डर्स को प्रतिस्थापित करके पुरानी शैली की क्वेरी बनाते हैं वेरिएबल नाम पर निर्भर करता है। स्ट्रिंग्स को उद्धृत/भाग लिया जा रहा है, बाकी को इसके प्रकार के लिए डाला जा रहा है।

दोनों विधियां पूरी तरह से सुरक्षित हैं।

असली खतरा शुरू होता है आप एक चर पहचानकर्ता है जब ...