Muss ich eine vorbereitete Anweisung für die Daten verwenden, die ich von der Datenbank bekomme?

Question

Ich habe eine Abfrage wie folgt aus:

$result = $db 
-> prepare("SELECT value FROM mytable WHERE id = ?") 
-> execute(array($id)) 
-> fetch(PDO::FETCH_ASSOC); 

Und ich möchte für eine weitere Abfrage (eine UPDATE Anweisung)$result['value'] als Parameter verwenden. Sollte ich vorbereitete Aussage für diese UPDATE Aussage verwenden? Oder weil ich es aus der Datenbank genommen habe, dann brauche ich es nicht als vorbereitete Aussage zu übergeben?

Answer 1

Ja. Verwenden Sie eine vorbereitete Anweisung mit einem Bind-Platzhalter.

Nur weil ein Wert von einer Datenbank zurückgegeben wird, bedeutet dies nicht, dass der Wert für die Aufnahme in SQL-Text sicher ist.

Möglicherweise haben Sie Domain-Wissen, dass die value Spalte in mytable INTEGER Typ ist, so dass es sicher wäre. Aber im allgemeineren Fall, und für den Leser, der die Definition von mytable nicht kennt, und was value enthalten könnte. Ein Leser Ihres Codes wird davon ausgehen, dass value nicht "sicher" ist. Soweit wir wissen, werden wir so etwas wie diese bekommen könnte:

Robert'); DROP TABLE students; -- 

Jedes Mal, wenn wir sehen, eine Variable in den SQL-Text verknüpft, wollen gehen wir davon aus, dass die Variable könnte etwas anderes als ein Wert enthalten, und Es könnte tatsächlich SQL enthalten. (Oder, wenn wir eine Variable sehen, die in den Text einer SQL-Anweisung verkettet ist, würden wir erwarten, dass sie genau an dem Punkt entkernt wird, an dem sie verkettet wird.)

Also würde das bevorzugte Muster verwendet werden eine vorbereitete Anweisung mit einem Bind-Platzhalter. Das macht es für den Leser eindeutig, dass value tatsächlich ein Wert ist und dass es nicht als SQL-Text interpretiert werden soll.