PDO e inyección SQL

jotaincubus · #1 (**permalink**) 26/01/2012, 11:56

Si yo tengo una consulta con PDO asi:

Código MySQL:

Ver originalCopiarSELECT * FROM una_tabla WHERE campo = ?

Tambien estoy evitando la inyección SQL como en named parameters ?

Código MySQL:

Ver originalCopiarSELECT * FROM una_tabla WHERE campo = :parametro

Muchas gracias por sus respuestas.

maycolalvarez · #2 (**permalink**) 26/01/2012, 11:59

en esencia sí, PDO al preparar realiza escapado de variables, pero nada cuesta probar un poco, trata de agregar algo con comillas, si no falla la consulta y se ve la comilla en DB no tiene que preocuparse de ese aspecto

jotaincubus · #3 (**permalink**) 26/01/2012, 12:13

jeje muchas gracias por tu respuesta, imagínate que intente haciendo esto:

Código PHP:

Ver originalCopiar$array = array('NOW()')
// codigos de PDO aquí
prepare("INSERT INTO una_tabla (campo) VALUES (?)")
execute($array)

Y no me dejo, me toco hacer esto:

Código PHP:

Ver originalCopiar$fecha = date("d/m/Y h:i:s")
$array = array($fecha)
// codigos de PDO aquí
prepare("INSERT INTO una_tabla (campo) VALUES (?)")
execute($array)

Según eso si evitaría la inyección SQL no ?

maycolalvarez · #4 (**permalink**) 26/01/2012, 12:23

bueno, en el caso de fechas, PDO te exige un objeto fecha (lógico es orientado a objetos), pero en el caso de cadenas si las escapa, eso quiere decir que PDO restringe por tipos, eso es muy apreciado en el caso de seguridad

GatorV · #5 (**permalink**) 26/01/2012, 12:30

Lo que pasa es que al usar ? como placeholder, PDO lo escapa y tu consulta queda así:

Código SQL:

Ver originalCopiarINSERT INTO una_tabla (campo) VALUES ('NOW()')

Tienes que entender que la idea de usar prepared statements, no es solamente la de escapar los carácteres, si no más bien lo que hace internamente PDO es mandar el query a tu BDD, compilar el query y luego esperar los valores de entrada.

Es por eso que no se pueden poner funciones como NOW() ya que no hay optimización, en ese caso ponlo directamente en tu query:

Código SQL:

Ver originalCopiarINSERT INTO TABLE (campo) VALUES (NOW())

La idea de usar prepared statements es de usarlos cuando necesites enviar variables de entrada o salida y tener la mayor optimización posible.

Saludos.

jotaincubus · #6 (**permalink**) 26/01/2012, 13:04

Muchas gracias por responder GatorV, pero volviendo a la pregunta inicial con cualquiera de las dos formas PDO me evita inyecciones SQL?

Es que estube buscando y encontre en el foro un tema viejo pero se utiliza "named parameters", mi pregunta concreta es si utilizando "positional parameters" PDO también me evita inyección SQL ?

GatorV · #7 (**permalink**) 26/01/2012, 13:12

El que uses named parameters (:name) o placeholders (?) es lo mismo, debes de entender como funcionan los prepared statements para que veas como es que te protegen de los SQL Inyections.

Cuando tu mandas un query, por ejemplo SELECT * FROM foo WHERE bar = ?, este query como tal, literal se envía a MySQL (con todo y el ?), el motor de MySQL analiza el query, y ve el placeholder y dice "ok espero una variable de entrada", entonces ejecuta el query y lo deja en un estado compilado, luego PDO al hacer el execute, le dice del query que te envié, estos son los parámetros, y entonces hace la ejecución del Query.

Esto hace que sea imposible que te hagan SQL Inyection, ya que el SQL no existe, ya se volvió código nativo para la base de datos que solo espera variables de entrada, las cuales por más SQL que pongan no tiene efecto ya que son variables.

Si entiendes esto, puedes ver la razón de porque usando ? o :name es lo mismo, y realmente solo es a tu gusto como programador el usar cualquiera de las dos.

También viendo esto puedes ver el porque no se puede usar el NOW() como variable, y se tiene que construir directamente en el query.

También puedes ver con esto porque no se puede hacer algo así: SELECT * FROM ? WHERE ? = ?, ya que MySQL analiza y prepara el Query y no soporta variables en esas posiciones, solo en las variables de entrada.

Saludos.

jotaincubus · #8 (**permalink**) 26/01/2012, 13:21

O.o ahora si entendí, ahora se como funciona, es una excelente respuesta.... Como siempre GatorV te sobraste con esa explicación.

Si PDO hace todo eso para evitar la inyección, entonces para que utilizar bindParam ? Es que leo y leo y busco y busco y no dicen la funcion real de bindParam

Muchísimas gracias.

GatorV · #9 (**permalink**) 27/01/2012, 08:47

No es que lo haga PDO, de hecho es un trabajo del RDBMS, aunque PDO trae una capa que emula los prepared statements si es que el RDBMS no soporta eso.

bindParam, sirve para enlazar una variable (por referencia) hacía un prepared statement, te permite hacer cosas así:

Código PHP:

Ver originalCopiar$stmt = $pdo->prepare('INSERT INTO colors (color) VALUES (?)');
$stmt->bindParam(1, $color, PDO::PARAM_STR);
 
$color = 'black';
$stmt->execute(); // se inserta black
 
$color = 'blue';
$stmt->execute(); // se inserta blue

O sea la variable queda enlazada por referencia, y sirve para poder también usar variables de entrada y salida en los stored procedures. Un ejemplo del manual:

Código PHP:

Ver originalCopiar$colour = 'red';
$sth = $pdo->prepare('CALL puree_fruit(?)');
$sth->bindParam(1, $colour, PDO::PARAM_STR|PDO::PARAM_INPUT_OUTPUT, 12);
$sth->execute();
print("After pureeing fruit, the colour is: $colour"); // imprime otra cosa que no es red ya que fue cambiada en el stored procedure

Los prepared statements son muy usados sobre todo cuando tienes que hacer muchos inserts (en modo batch) ya que tienen el mejor rendimiento vs usar sql queries normales.

Saludos.

jotaincubus · #10 (**permalink**) 27/01/2012, 13:14

Perfecto, queda completamente aclarada mi duda. Nuevamente muchísimas gracias por la explicación.