PREPARE Statement

Aya · Verfasst: Do 07.07.11 08:16

Hi,

es gibt im MySQL ja dieses PREPARE:
dev.mysql.com/doc/re...ared-statements.html

Weiß jemand ob das SQL Injection sicher ist?
Also wenn ich z.B. hier:

PREPARE stmt1 FROM 'SELECT * FROM customers WHERE name = ?';
SET @a = [userinput];
EXECUTE stmt1 USING @a;

Ist es hier noch moeglich SQL Injections zu machen indem man z.B. irgendwie 'SELECT irgendwas' oder 'DELETE..' als UserInput bekommt?

Aya

_________________
Aya
I aim for my endless dreams and I know they will come true!

BenBE · Verfasst: Do 07.07.11 12:10

Sofern Du deine Parameter z.B. direkt über die API und nicht als SQL-Befehl setzt, sind Prepared Statements gegen SQL-Injections geschützt.

Hintergrund ist der, dass man durch die Parameter SQL schon im Vorfeld mitteilt, wo Parameter sind und somit eine Durchmischung von verschiedenen Programmkontexten (Code und Daten) vermeidet.

Bei deinem Beispiel wäre die SET-Zeile angreifbar. Dafür gibt es aber in PHP eine direkte Funktion (mysql_bind_param), mit der das vermieden werden kann.

_________________

Anyone who is capable of being elected president should on no account be allowed to do the job.
Ich code EdgeMonkey - In dubio pro Setting.

	Mitgliederliste
	Gruppen
	Das Team
	Richtlinien
	Synonyme