如果 PDO 和 mysqli 不可用，使用 mysql_* 函数是否安全？

Question

我有一个托管在共享主机上的网站。 他们安装了 php 5.2.13。

我知道 SQL 注入的漏洞，我想阻止它。

所以我想使用 PDO 或 mysqli 来防止它。

但是当我使用phpinfo();查看托管环境php设置信息时出现问题，
发现PDO没有mysql驱动，里面也不支持mysqli。

所以我想知道使用旧的 mysql_* 函数是否安全（以及 像mysql_real_escape_string这样的函数。

我在 SO 上看过这个，但对我没有多大帮助。 Prepared statements possible when mysqli and PDO are not available?

更新：

我忘了提到大多数查询都很简单。没有使用任何表单，因此不会使用用户输入来进行查询。所有查询都将使用必要的参数进行硬编码，并且一旦设置就不会更改。

Answer 1

实现这一点的一个好方法是实现一个 Wrapper 类以使用 mysql_* 函数，并使用一些方法来创建预准备语句。

这个想法是您必须在查询中传递强类型参数。

例如，这里有一段代码，大致思路。当然，它需要更多的工作。 但如果实施得当，这可以防止 SQL 注入攻击。

您还可以搜索已经实现该功能的 3rd 方库，因为这很常见。

<?php

class MyDb
{
  protected $query;

  public function setQuery($query)
  {
    $this->query = $query;
  }

  public function setNumericParameter($name, $value)
  {
    if (is_numeric($value)) // SQL Injection check, is the value really an Int ?
    {
       $this->query = str_replace(':'.$name, $value);
    }
    // else, probably an intent of SQL Injection
  }

  // Implement here the methods for all the types you need, including dates, strings, etc

  public function fetchArray()
  {
     $res = mysql_query($this->query);
     return mysql_fetch_array($res);
  }
}


MyDb $db = new MyDb();
$db->setQuery('SELECT * FROM articles WHERE id = :id');
$db->setNumericParameter('id', 15);

while ($row = $db->fetchArray())
{
// do your homework
}

Answer 2

没有。缺乏更安全的解决方案绝不是退回到更不安全或更易受攻击的解决方案的正当借口。

你最好找到一个不同的托管服务提供商，即使在他们的共享托管包中也不会禁用任意 PHP 功能。哦，尝试获得一个使用 PHP 5.3 的，或者如果可以的话，PHP 5.4 更好。

Answer 3

如果您对始终使用 mysql_real_escape_string() 和所有用户提供的输入非常严格，那么我认为您应该避免任何准备好的语句保护您免受 SQL 注入。

你在这方面有多完美？我敢打赌，大多数缓冲区溢出漏洞都是由认为自己擅长检查输入的程序员创建的......