PDO MySQL & prepared statements: 100.0% Sicherheit?
-
Sagt mal, ist man mit PDO MySQL und prepared statements 100.0% abgesichert vor injections? Vorausgesetzt, man benutzt es auch richtig und mal abgesehen von unbekannten Lücken.
-
bei 100% richtiger Nutzung ist man auch ohne PDO auf der sicheren Seite
-
100%tige Sicherheit gibts nicht, schließlich kanns auch Lücken in der Implementierung von den Prepared Statements geben. Aber rein prinzipiell schließt du damit alle Injections aus.
-
dispy schrieb:
Aber rein prinzipiell schließt du damit alle Injections aus.
Sicherheit gibt es trotzdem nie. Irgendwo ist immer eine Lücke. Klingt abgehoben und einfach, ist aber auch so.
Kann man eine Ahnung davon haben, welche lücken die SQL-Umsetzung (damit meine ich den Standard) bei MySQL noch aufwirft?
Wie sollte man da auch in vorfeld schon seinen Source entsprechend anpassen können um neue injection-methods zu vermeiden?
Lücken werden erst einmal gefunden und anschließend erst verwendet. Da kann ein älterer Source auf eine neue Injection-Methode noch gar nicht vorbereitet sein.Das ist aber nun mehr eine Ansichtssache.
-
Doppelpost.. falsch geklickt (auf Zitieren statt Edit..)
-
Es geht mehr darum, dass er durch die Benutzung von Prepared Statements theoretisch alles Notwendige veranlasst hat, um alle Injections zu verhindern. Alle Schäden, die durch trotzdem mögliche Injections entstehen, gehen auf Konto von a) PHP, b) dem MySQL-Treiber oder c) MySQL selbst. In jedem Fall trägt er dafür keine Verantwortung mehr.
-
Außer er hat gleichzeitig noch den Server zu verantworten...
