这安全吗？ ADOdb 准备好的语句

Question

我正在使用 ADOdb 连接到我的 MSSQL 数据库。我想知道这是否足以防止 SQL 注入？

我正在使用的准备好的查询是：

       $db = ADONewConnection('odbc_mssql');
       $dsn = "Driver={SQL Server};Server=SERVNAME;Database=DBNAME;";
       $ADODB_COUNTRECS = false;

       $db->Connect($dsn,'LOGIN','PASS');

       $sql = 'SELECT login, etc FROM users WHERE login ='.$db->Param('0').' AND pass ='.$db->Param('1').'';
       $stmt = $db->Prepare($sql);  
       $stmt = $db->Execute($stmt,array("$user_id","$psw"));

或者您是否会建议切换到 PDO？

Answer 1

我不明白为什么没有人试图回答这个问题，甚至以任何方式发表评论。我猜 SO 以神秘的方式工作.. ;) 无论如何，我已经进行了足够的研究（我想是的），能够自己回答这个问题，并且有一定的信心。

因此，从本质上讲，准备好的查询比仅输入转义（例如 mysql_real_escape_string();）要安全得多，因为正如一些智者所说：

是的，mysql_real_escape_string 实际上只是一个字符串转义函数。它不是灵丹妙药。它将做的只是转义危险字符，以便它们可以安全地用于单个查询字符串。但是，如果您不事先对输入进行清理，那么您将容易受到某些攻击向量的攻击。

完整答案链接：mysql_real_escape_string

所以我做了什么来测试我准备好的语句与转义 - 我制作了一个简单的提交表单并尝试使用 mysql_real_escape_string(); 清理输入，并且肯定它失败了像 "1 OR 1=1" 这样的示例，有些人建议添加转义值在这样的单引号内：

$query = "SELECT * FROM mydb WHERE ID = ' ".$escapedID." ' ";

这有助于防止出现"1 OR 1=1" 示例，但这肯定不是最佳做法。转义的问题在于它不能防止人们以恶意方式更改您的查询逻辑。

所以从现在开始，我将坚持使用 ADODB 准备好的语句。就像我上面原始问题中的那个，或者来自bobby-tables 网站的较短版本：

   $dbConnection = NewADOConnection($connectionString); 
   $sqlResult =  $dbConnection->Execute( 
   'SELECT user_id,first_name,last_name FROM users WHERE username=? AND password=?'
   , array($_POST['username'], sha1($_POST['password']) );

关于 SQL 注入的其他非常有用的问题：

• Code safe from injections
• I do not understand SQL Injection
• SQL Injection cheat sheet

还可以观看此视频，它使 SQL 注入更容易掌握：

• SQL Injection Myths & Fallacies