PHP MYSQL PDO. Biztonságosabb mint a sima mysql_* parancsok? Én eddig ezeket használtam, és egyik ismerősöm javasolta, hogy SQL INJECT és egyéb trükkök ellen inkább használjam a PDO-s megoldást, megéri? Tényleg biztonságosabb?

A sima mysql_ parancsokat az 5.5.0-ás verziótól deprecated-re tették, a későbbi verziókból el fog tűnni!

Azaz, jön majd egy PHP verzió frissítés, amitől kezdve meg fog halni a rendszer, ami sima mysql parancsokat használ.

A PDO és a mysqli van helyette, de ezeket is lehet ROSSZUL használni.

Nem attól lesz biztonságos a kód, hogy most PDO-t kezdesz használni a sima mysql helyett.

Például:

Az SQL injection abból adódik, hogy az ember gondolkodás nélkül ad be input paramétert az SQL lekérésbe.

(A neten találsz példákat.)

Ugyan úgy, stringek összekapcsolásával lehet a PDO-val is lekérésekét írni, ami ugyan úgy veszélyes lesz.

Használj PDO-t, de azt MEGFELELŐEN, készíts paraméterezett lekéréseket.

Ebben az esetben ugyanis az adatbázis kezelő a háttérben tudni fogja, hogy te tényleg az adott helyen paramétereket akarsz betenni.

Itt látsz megoldásokat:

[link]

(A bindValue és társai a lényegesek neked.)