Хочу перенести сайт с mysql на PDO или mysqli прочитал много статей хочу внести ясность по некоторым пунктам?

Question

ВладиМИР @dazle

Хороший электрик, но в душе программист

MySQL

Хочу перенести сайт с mysql на PDO или mysqli прочитал много статей хочу внести ясность по некоторым пунктам?

Переход осуществляю только потому что хочу обезопасить сайт от иньекций. На сайте много файлов с запросами типа:

$a=$_SESSION['name'];
$res=mysql_query("SELECT * FROM `messages2` WHERE `komy`='$a'");

$idfilm=$row['idfilm'];
$com=mysql_query("SELECT * FROM `komment` WHERE idfilm=$idfilm ORDER BY `id`");

$query="INSERT INTO `rus` (`idvol`,`reyting`,`name`,`vol`,`file`,`kto`,`rey`,`data`,`orderdate`) 
  VALUES('$ro','$reyting','$name','$vol','$file','$kto','$hj',CURDATE(),DATE_ADD(NOW(), INTERVAL 6 DAY)) ";

Запросы впринципе несложные, многие сайты склоняются за PDO ,но я бы хотел работать с mysqli:
-cтарый знакомый синтаксис
-проще переделать с mysql
-не собираюсь даже в будущем использовать др бд
Единственное что - это защита, но читал на сайте есть хункции-хелпера они понятные и простые, типа:

user = $db->getRow("SELECT * FROM users where name=?s",$_POST['name']);

Может ли такой вид обезопасить сайт от иньекций? или лучше выбрать все таки PDO?

Вопрос задан более трёх лет назад
4967 просмотров

4 комментария

Подписаться 6 Простой 4 комментария

Северное Сияние @php666

Почитай документацию. Что такое PDO, что такое mysqli и как все это работает и чем отличается. Для начала..

Написано более трёх лет назад
vaflya @vaflya

https://youtu.be/gUgtft0hTps

там пару коротких упоков, покажет как использовать PDO и placeholder. Этого по началу наверно достаточно, чтобы обезопасить себя от инъекций.

И первое правило, в строку sql запроса НИКОГДА не подставляй напрямую переменную.
Тем более полученную от пользователя.

Написано более трёх лет назад
vaflya @vaflya

скинул ссылку на карал -> плэйлист пишем свой движок и найди по заголовкам PDO или что то на подобие

Написано более трёх лет назад
Игорь Воротнёв @HeadOnFire
INSERT INTO `rus` (`idvol`,`reyting`,`name`,`vol`,`file`,`kto`,`rey`,`data`,`orderdate`) VALUES ('$ro','$reyting','$name','$vol','$file','$kto','$hj',CURDATE(),DATE_ADD(NOW(), INTERVAL 6 DAY))

Я бы еще обратил пристальное внимание на naming conventions. Потому что в текущем состоянии это адище...
Написано более трёх лет назад

Решения вопроса 1

12 комментариев

ВладиМИР @dazle Автор вопроса

сложно и громоздко, но я готов во всем разобраться если буду уверен что безопасность будет гарантирована не хуже чем на PDO (ведь это так?) все таки mysqli как то ближе по родству.

Написано более трёх лет назад
alekseyHunter @alekseyHunter

ВладиМИР (о__О), у них разница только в подходе. PDO - ООП, mysqli - процедурный подход.

Написано более трёх лет назад
ThunderCat @ThunderCat Куратор тега MySQL

alekseyHunter, гонево

Написано более трёх лет назад
alekseyHunter @alekseyHunter

ThunderCat, а можно без ссылок объяснить? Да, mysqli тоже может использовать объекты, но у меня в примере использован процедурный подход, так что разница есть.

Написано более трёх лет назад

ThunderCat @ThunderCat Куратор тега MySQL

alekseyHunter, можно, mysqli абсолютно так же как и пдо может быть в ООП стиле.

$mysqli = new mysqli("example.com", "user", "password", "database");
if ($mysqli->connect_errno) {
    echo "Не удалось подключиться к MySQL: " . $mysqli->connect_error;
}

$res = $mysqli->query("SELECT 'выбора, чтобы угодить всем.' AS _msg FROM DUAL");
$row = $res->fetch_assoc();
echo $row['_msg'];

Написано более трёх лет назад

ThunderCat @ThunderCat Куратор тега MySQL

alekseyHunter,
у них разница только в подходе.

но у меня в примере использован процедурный подход, так что разница есть.
Это не у них разница есть, а у вас.

Написано более трёх лет назад
alekseyHunter @alekseyHunter

ThunderCat, 好。 Все равно разница есть - PDO только ООП, mysqli ООП+Процедурный стили :D

Написано более трёх лет назад
vism @vism

хахаха, тостер, джуны отмечают ответы джунов.
Самый слабый ответ из всех )))

Написано более трёх лет назад
alekseyHunter @alekseyHunter

vism, критикуешь - предлагай, предлагаешь - делай, делаешь - отвечай.

Написано более трёх лет назад
DevMan @DevMan

alekseyHunter, для спокойствия достаточно подготовленных выражений. валидация - не имеет отношения к базе данных.

Написано более трёх лет назад
alekseyHunter @alekseyHunter
DevMan, ajax-скрипты всегда доступы для просмотра, можно отправить собственный запрос, а значит без проверки на стороне сервера сайту придется плохо.
Придет пустая строка в запрос с условием выборки по имени. Что из БД вернется? Правильно, все данные.
$stmt = mysqli_prepare($link, "SELECT * From book Where name like CONCAT('%',?,'%')"); mysqli_stmt_bind_param($stmt, 's', $query); mysqli_stmt_execute($stmt); mysqli_stmt_bind_result($stmt, $id, $name, $year, $count_books);
Написано более трёх лет назад
vism @vism

alekseyHunter, правильно, потому что давно придумали PDO. но можно и валидацию зарукожопить )))))

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 3

8 комментариев

alekseyHunter @alekseyHunter

соберите их в классы, работающие с конкретными таблицами и выполняющие абстрагированную от конкретного запроса работу.

Adamos , можно, пожалуйста, пример?

Вы говорите о классе, которому будут передаваться в качестве аргументов запросы с их параметрами, а тот в свою очередь будет возвращать данные?

Написано более трёх лет назад
Adamos @Adamos

alekseyHunter, нет, я говорю о классе, скрывающем все запросы к БД от внешнего кода. Вы должны запрашивать просто RusTable::add($data), а уже внутри этой функции выполняется подключение к БД и INSERT в нее.
Подключение можно вынести в конструктор класса или вовсе в синглтон, главное - чтобы всего этого низкоуровнего кода в принципе не было в скриптах, генерирующих страницы сайта.

Написано более трёх лет назад
alekseyHunter @alekseyHunter
главное - чтобы всего этого низкоуровнего кода в принципе не было в скриптах, генерирующих страницы сайта.

Adamos, а если использовать паттерн/архитектуру MVC? В моделях будут реализованы все функции для работы с БД, а в представлениях будем только вызывать их.

Вы должны запрашивать просто RusTable::add($data), а уже внутри этой функции выполняется подключение к БД и INSERT в нее.

Спасибо, понял, у меня так реализован класс для работы с SQLite на андроиде.
fun updateSkill(db: SQLiteDatabase?,id: Int?, name: String, time: String) { val cv = ContentValues() cv.put(C_SKILLS_NAME, name) cv.put(C_SKILLS_PROGRESS, time) db?.update(TABLE_SKILLS, cv, "$C_SKILLS_ID = ?", arrayOf(id.toString())) }
Написано более трёх лет назад
Adamos @Adamos

alekseyHunter, для использования MVC логично подобрать фреймворк, уже ее использующий, и не изобретать велосипедов.

Написано более трёх лет назад
alekseyHunter @alekseyHunter

и не изобретать велосипедов

Adamos, в университете все ручками пишем, чтобы понимать работу изнутри)

MVC логично подобрать фреймворк, уже ее использующий

К сожалению, с такими не знаком. Можете посоветовать?

Написано более трёх лет назад
Adamos @Adamos

alekseyHunter, затруднюсь назвать современный РНР-фреймворк, НЕ использующий MVC.

Написано более трёх лет назад
Vitsliputsli @Vitsliputsli

alekseyHunter,
В моделях будут реализованы все функции для работы с БД, а в представлениях будем только вызывать их.

У вас неправильное представление о MVC. Модель это любая логика, не только работа с БД, а представление работает с уже подготовленными в модели данными.

Написано более трёх лет назад
DevMan @DevMan

Adamos, тебя макогон покусал штоле? тот же самый автор уже давно топит за пдо (если читать в оригинале, а не переводе).

Написано более трёх лет назад

Комментировать

2 комментария

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

PHP

+2 ещё

Простой
Как в Drupal 10 массово проставить noindex для >1000 страниц?
- 1 подписчик
- вчера
- 42 просмотра
1

ответ
MySQL

+1 ещё

Средний
Как восстановить базу данных mysql, если служба mysql не запускается на windows?
- 1 подписчик
- вчера
- 88 просмотров
1

ответ
WordPress

+1 ещё

Простой
Как импортировать большую базу данных в Wordpress?
- 1 подписчик
- вчера
- 59 просмотров
3

ответа
MySQL

+1 ещё

Средний
MySQL ошибка InnoDB: Attempted to open a previously opened tablespace. Куда копать?
- 1 подписчик
- 15 апр.
- 58 просмотров
1

ответ
MySQL

+1 ещё

Простой
Как получить доступ к БД mySQL через терминал?
- 1 подписчик
- 15 апр.
- 93 просмотра
2

ответа
MySQL

+1 ещё

Средний
Как скрестить ElasticSearch и MySQL?
- 3 подписчика
- 15 апр.
- 682 просмотра
2

ответа
MySQL

Простой
Что сработает быстрее, что лучше использовать?
- 2 подписчика
- 14 апр.
- 913 просмотров
1

ответ
PHP

+1 ещё

Простой
Как связать таблицы по одному столбцу и посчитать сумму?
- 2 подписчика
- 14 апр.
- 311 просмотров
2

ответа
PHP

+1 ещё

Простой
Почему не выводит первую строку в select?
- 1 подписчик
- 14 апр.
- 83 просмотра
1

ответ
MySQL

Простой
Как посчитать количество строк с group by'ом?
- 1 подписчик
- 12 апр.
- 84 просмотра
1

ответ
Показать ещё Загружается…

Программист C++ Builder / базы данных MySQL

RU Electronics • Москва

от 180 000 до 200 000 ₽

Инженер технической поддержки с английским языком и знанием PHP/MySQL

IT-Aces

от 100 000 до 150 000 ₽

Системный аналитик

ROBOTMIA • Новосибирск

от 100 000 ₽

Привязка к Маркетплейсам 1С Розница 2.3

20 апр. 2024, в 05:26

10000 руб./за проект

Дописать функцию на Flutter, работа с yandex map kit

20 апр. 2024, в 04:18

3000 руб./за проект

Английская версия для сайта на WordPress

20 апр. 2024, в 03:34

8000 руб./за проект

Почитай документацию. Что такое PDO, что такое mysqli и как все это работает и чем отличается. Для начала..
https://youtu.be/gUgtft0hTps

там пару коротких упоков, покажет как использовать PDO и placeholder. Этого по началу наверно достаточно, чтобы обезопасить себя от инъекций.

И первое правило, в строку sql запроса НИКОГДА не подставляй напрямую переменную.
Тем более полученную от пользователя.
скинул ссылку на карал -> плэйлист пишем свой движок и найди по заголовкам PDO или что то на подобие
INSERT INTO `rus` (`idvol`,`reyting`,`name`,`vol`,`file`,`kto`,`rey`,`data`,`orderdate`) VALUES ('$ro','$reyting','$name','$vol','$file','$kto','$hj',CURDATE(),DATE_ADD(NOW(), INTERVAL 6 DAY))

Я бы еще обратил пристальное внимание на naming conventions. Потому что в текущем состоянии это адище...

Answer 1 · 2019-08-21 15:35:33

Может ли такой вид обезопасить сайт от иньекций?

За код первых запросов хакеры вам скажут спасибо, им софт уже найдет уязвимость.

Последний запрос такой же уязвимый, т.к. вы напрямую берете данные из массива.

Ошибки:

Вы не проверяете значение, которое содержится в POST/SESSION (тип данных, пустая строка)
Вы не проверяете регуляркой эти данные
Вы не используете параметрические запросы

Для наглядности простой пример:

function registration($link,$login,$password,$email) {
	$newlogin = preg_replace('%[^A-Za-zА-Яа-я0-9]%', '', $login);
	$newpassword = preg_replace('%[^A-Za-zА-Яа-я0-9]%', '', $password);

	if($newlogin !=$login || $newpassword != $password) 
                return false;

		$pass = md5($newpassword);

		check_input_data($link,$login,$email); //Кидает ошибку, если логин уже есть в базе

		$stmt = mysqli_prepare($link, "INSERT INTO users (login,password) VALUES (?, ?)");
		mysqli_stmt_bind_param($stmt, 'ss', $newlogin, $pass);

		mysqli_stmt_execute($stmt);

		if(mysqli_stmt_affected_rows($stmt)==1) {
			$user_id = get_user_id($link,$newlogin);
//Что-то делаем
    } else {
      return false;
    }
      mysqli_stmt_close($stmt);

      return true;
}

Answer 2 · 2019-08-21 16:03:56

Если сайт совсем не вариант переписать на чем-нибудь нормальном (в вашем спагетти проблема не только в запросах) - можно как паллиатив использовать phpfaq.ru/safemysql
Но не валяйте запросы по коду, соберите их в классы, работающие с конкретными таблицами и выполняющие абстрагированную от конкретного запроса работу. Так легче будет и сопровождать код, и развивать его дальше.

Answer 3 · 2019-08-21 20:22:52

PDO лучше только в плане универсальности (драйвера, а не вашей работы, это не ORM), mysqli как специализированный драйвер к примеру более производителен (несущественно). Защиту от sql инъекций вам дадут только подготовленные запросы, где вы их будете применять, в pdo или mysqli, без разницы.
Но все современные orm и просто обертки пишутся для PDO. Про mysqli забыли. Нативная работа с mysqli ужасна, т.к. очень устарела, эксепшены отсутствуют, да и порой просто не очень адекватна.

Answer 4 · 2019-08-21 22:27:11

Поверьте мне, переходите на PDO. Сам как-то пробовал адаптировать старый скрипт и все закончилось PDO. Кода напишите столько же, но выгоднее юзать pdo. Все равно вы придете к одному - работа с mysql. Считаю mysqli "обмен шило на мыло"

Хочу перенести сайт с mysql на PDO или mysqli прочитал много статей хочу внести ясность по некоторым пунктам?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт