Php -> mqsli Prepared Statement

[lrg0]

Hi,

ich habe seit langem nichts mehr in Php gemacht. Durch Zufall habe ich jetzt etwas über "prepared statements" gelesen.

... wodurch sqli praktisch unmöglich wird ...

ich konnte es mir aber nicht erklären und auch in den Docs nichts passendes finden. Wie sicher ist es? Muss ich die Variablen nicht mehr selbst prüfen und kann $_POST['data'] direkt an die execute-function übergeben?
Wie kann es denn schneller und sicherer sein?


Über eine kurze Erläuterung würde ich mich freuen.

[SecurityFlaw]

Das zu lesen könnte sicher hilfreich sein: http://stackoverflow.com/questions/8...ection-attacks

[H4x0r007]

Hi,
du bereitest das Statement mit z.B. mit

Code:

$stmt = $mysqli->prepare("SELECT title, content FROM blog WHERE author=?");

Damit steht der Code, den die Datenbank ausführen soll, bereits fest. Ich kenne die genaue Implementierung von PHP nicht, aber normalerweise wird dieser String schon an die Datenbank gegeben, die den String parst, interne Optimierungen ausführt und einen Ablaufplan generiert. Später fügst du mit

Code:

$stmt->bind_param('s', $_GET["author"]);

den eigentlichen Wert ein. bind_param filtert dabei und kümmert sich um den Datentyp. Im prepared statement habe ich um die Stelle, an der der Get-Parameter eingefügt werden soll, keine Anführungszeichen geschrieben. Darum kümmert sich die bind_param-Funktion.

Damit verhinderst du schon auf zwei Weisen SQL-Injections. 1. übergibst du den Wert aus dem Get-Parameter an die bind_param-Funktion, die das Ganze filtert. 2. steht für das Datenbanksystem der Ablauf nach dem prepare() schon fest und kann durch die Parameter ohnehin nicht mehr geändert werden.

[lrg0]

In dem Post bei Stackoverflow habe ich gelesen, dass es ein Feature der Datenbank ist und nicht von Php allein. Jetzt ist mir auch klar, wie dadurch die Sql-Injection verhindert wird.
Ich frage mich jetzt nur, welche MySQL und welche Php ich mindest haben muss um prepared Statements zu nutzen.

[H4x0r007]

Das sind ziemlich grundlegende Funktionen, die es schon ewig gibt. Laut PHP-Doku gibt's den mysqli-Wrapper schon seit PHP5. MySQL kann das auch schon seit Version 3.23.

[systemd]

Die PHP-Doku ist zum Thema prepared statements eigentlich völlig uninteressant im Bezug auf die Performance, da prepared Statements eine Basis-Funktionalität von MySQL sind und dementsprechend serverseitig (bezogen auf das DBMS) verarbeitet werden (im Falle von MySQLi, bei PDO sieht es schon ein Stück anders aus).

Bestmöglich sollte der dritte Parameter im Bezug auf den Datentypen auch übergeben werden, aber bei Datentypen die im Vorfeld sowieso klar sind, würde ich eher Type casting vorziehen, einerseits bietet kein Datenbanktreiber mit dem Funktionsumfang absolute Sicherheit und zweitens, müssen Lücken nicht unbedingt nur in SQL-Statements auftreten.

[24ds]

Wenn du es nicht nur sicher sondern auch noch bequem haben willst, kannst du gleich PDO oder ähnliches nutzen. Hier kannst du gleich sogar benannte Platzhalter verwenden und so noch ein Stückchen mehr Sicherheit und Stabilität herausholen.
Ein Statement sieht dann ca. so aus: $stmt = $db_handle->prepare( "SELECT count(*) from `db`.`users` WHERE `user`=:username AND `password`=:passworthash");
Bind über $stmt->bindParam ( ":username", $_POST['username'], PDO::[ABSICHTLICH EINGEFÜGTES LEERZEICHEN]PARAM_STR );
usw....

der Vorteil liegt vor allem bei umfangreicheren queries auf der Hand. Du gehst die Parameter nicht suchen.
i.d.R. lässt sich PDO (wie auch andere Datenbanktreiber) leicht über Änderung in der php.ini aktivieren.

p.s.: hat mich jemand vermisst?

[systemd]

Wenn du es nicht nur sicher sondern auch noch bequem haben willst, kannst du gleich PDO oder ähnliches nutzen. Hier kannst du gleich sogar benannte Platzhalter verwenden und so noch ein Stückchen mehr Sicherheit und Stabilität herausholen.
Ein Statement sieht dann ca. so aus: $stmt = $db_handle->prepare( "SELECT count(*) from `db`.`users` WHERE `user`=:username AND `password`=:passworthash");
Bind über $stmt->bindParam ( ":username", $_POST['username'], PDO::[ABSICHTLICH EINGEFÜGTES LEERZEICHEN]PARAM_STR );
usw....

der Vorteil liegt vor allem bei umfangreicheren queries auf der Hand. Du gehst die Parameter nicht suchen.
i.d.R. lässt sich PDO (wie auch andere Datenbanktreiber) leicht über Änderung in der php.ini aktivieren.

Ehrlich gesagt,auf gut Deutsch find ich ist die Aussage zu Stabililät und Sicherheit bezogen auf reines Halbwissen. Ja du hast Recht, PDO bietet auch vielerlei Maßnahmen zum Thema IT-Sec, aber von der Performance und der absoluten Kompatibilität zu MySQL sind wir weit von ab. Sicher, die meisten SQL Statements lassen sich damit parsen. Mittlerweile ist PDO als Datenbanktreiber sogar so weit, dass er im Prinzip zu MySQLi (im Vergleich zur Anfangszeit) kaum Unterschiede bietet. Aber der hauptsächliche Unterschied, sobald man mit MySQL/MariaDB oder etwaigen Forks arbeitet ist die Performance.

Stabilität und Sicherheit lässt sich nicht aufgrund einer Fremdsoftware ausmachen, denn PDO (PHP Data Objects) ist nichts anderes als eine emultierte Umgebung von Prepared Statements sind, wohingegen MySQLi gegen die native Schnittstelle von MySQL für die interne Logik für Prepared Statements zurückgreift. Wohingegen PDO seine eigene Implementierung für verschiedene Datenbankengines vorsieht, nicht explizit MySQL spezifisch und damit auch gewisse Lücken bietet. Allein einfach mal den Quellcode von den zwei verschiedenen Extensions zu lesen wäre einfach mal Vorteilhaft.

[24ds]

Stabilität und Sicherheit lässt sich nicht aufgrund einer Fremdsoftware ausmachen

Stimmt. Geht aber komplett am Punkt vorbei. Ich rede nicht von der Stabilität von PDO selbst. Oder der Sicherheit von PDO selbst. Abgesehen davon, dass ich mir gerade kein sinniges Angriffsszenario vorstellen kann, habe ich mir auf das Coding selbst bezogen.
Sicherer weil man durch die Benennung der Platzhalter nicht mehr so leicht etwas verwechseln kann. Stabiler weil man sich nicht so häufig verwurstelt und das ganze deutlich hirngerechter programmieren kann.