Foros del Web » Programando para Internet » PHP »

PDO e Inyección SQL

 Estas en el tema de PDO e Inyección SQL en el foro de PHP en Foros del Web. Hola comunidad! Por ahí leí que PDO evita el SQL Injection, pero no sé como, tengo tres ejemplos inspirados en los del manual PHP que ...
  #1 (permalink)  
Antiguo 11/01/2011, 15:50
 
Fecha de Ingreso: diciembre-2009
Ubicación: dirname(__FILE__)
Mensajes: 149
Antigüedad: 14 años, 4 meses
Puntos: 11
PDO e Inyección SQL
Hola comunidad!

Por ahí leí que PDO evita el SQL Injection, pero no sé como, tengo tres ejemplos inspirados en los del manual PHP que permiten hacer consultas con PDO, ¿Cuál de todos me evita la inyección SQL?
Desde ya muchas gracias

Forma 1 (con array):
Código PHP: 
Ver original
  1. <?php
  2. /* Execute a prepared statement by passing an array of values */
  3. $sql = 'SELECT name, colour, calories
  4.     FROM fruit
  5.     WHERE calories < :calories AND colour = :colour';
  6. $sth = $dbh->prepare($sql, array(PDO::ATTR_CURSOR => PDO::CURSOR_FWDONLY));
  7. $sth->execute(array(':calories' => $_GET['calorias'], ':colour' => $_GET['color']));
  8. // Imprimir el resultado.
  9. print_r($sth->fetchAll());
  10. ?>

Forma 2 (bindParam):
Código PHP: 
Ver original
  1. <?php
  2. /* Execute a prepared statement by binding PHP variables */
  3. $sth = $dbh->prepare('SELECT name, colour, calories
  4.     FROM fruit
  5.     WHERE calories < :calories AND colour = :colour');
  6. $sth->bindParam(':calories', $_GET['calorias'], PDO::PARAM_INT);
  7. $sth->bindParam(':colour', $_GET['color'], PDO::PARAM_STR, 12);
  8. $sth->execute();
  9. // Imprimir el resultado.
  10. print_r($sth->fetchAll());
  11. ?>

Forma 3 (bindValue)
Código PHP: 
Ver original
  1. <?php
  2. /* Execute a prepared statement by binding PHP variables */
  3. $sth = $dbh->prepare('SELECT name, colour, calories
  4.     FROM fruit
  5.     WHERE calories < :calories AND colour = :colour');
  6. $sth->bindValue(':calories', $_GET['calorias'], PDO::PARAM_INT);
  7. $sth->bindValue(':colour', $_GET['color'], PDO::PARAM_STR);
  8. $sth->execute();
  9. // Imprimir el resultado.
  10. print_r($sth->fetchAll());
  11. ?>

Aclarando que $_GET['calorias'] y $_GET['color'] son recogidas de un formulario sin mas.
  #2 (permalink)  
Antiguo 11/01/2011, 15:57
Avatar de GatorV
$this->role('moderador');
  
Fecha de Ingreso: mayo-2006
Ubicación: /home/ams/
Mensajes: 38.567
Antigüedad: 17 años, 10 meses
Puntos: 2135
Respuesta: PDO e Inyección SQL (round 1)
Los 3, ya que precisamente demuestran como usar named parameters para escapar las variables, lo que tendrías que agregar a eso es limpiar tus variables contra ataques XSS.

Saludos.
  #3 (permalink)  
Antiguo 11/01/2011, 16:05
 
Fecha de Ingreso: diciembre-2009
Ubicación: dirname(__FILE__)
Mensajes: 149
Antigüedad: 14 años, 4 meses
Puntos: 11
Respuesta: PDO e Inyección SQL (round 1)
Perfecto!
Gracias, al menos XSS es más fácil con strip_tags u algo más elaborado.

Estoy haciendo una clase para conectarse a PDO, si todo va bien la pongo hoy en la tarde para oír sugerencias.

Saludos.

Etiquetas: pdo, sql
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta


« Tema Anterior | Próximo Tema »


La zona horaria es GMT -6. Ahora son las 03:58.