Segurança na hora de criar uma função de consulta com PDO – php sql pdo

Pergunta:


Estou migrando agora para o PDO por causa da segurança, mas não sei se estou utilizando corretamente o PDO.

Estou criando essas funções para tornar mais rápido o uso do PDO, mas não sei se essa forma é segura. É a mesma coisa de eu estar usando da forma sem função?

<?php 
    function Conecta(){
try{
    $conexao=new PDO("mysql:host=localhost;dbname=sistemaescolar",'root','');
}
catch(PDOException $erro){
    $erro->getMessage();
}   
return  $conexao;
}

function ExecutaConsulta($conexao,$sql){
  $valor=func_get_args();
  $valores=array_slice($valor,2);
  $preparado=$conexao->prepare($sql);
  $preparado->execute($valores);
  $executar=$preparado->fetch();

  return $executar;

}
$conecta=Conecta();


$sql="SELECT * FROM se_professores WHERE id=?";
$resultado=ExecutaConsulta($conecta,$sql,1);
echo $resultado['nome'];

?>

Autor da pergunta LocalHost

Comunidade

Análise do código

A sua implementação está correta, pois ao passar os valores de uma consulta como array para a função PDOStatement::execute, ela irá preparar os parâmetros recebidos tratando os todos como PDO::PARAM_STR, isto é, todos os parâmetros recebidos serão tratados como uma string e não terá riscos de sofrer uma Sql Injection, a não ser que os valores sejam concatenados antes em sua query.

No exemplo abaixo, utilizo um array como terceiro parâmetro, mas será explicado o motivo mais adiante.

 // Forma vulnerável
 $nome = $_POST['nome'];
 $valor = $_POST['valor'];
 $query = 'INSERT INTO REGISTRY (name, value) VALUES (' . $nome . ', ' . $valor . ')';
 $resultado0 = executaConsulta($conecta, $query);

 // 1º Forma correta
 $query = 'INSERT INTO REGISTRY (name, value) VALUES (:name, :value)';
 $valores = array(
      ':name' => $_POST['nome']
      ':value' => $_POST['value']
 );
 $resultado1 = executaConsulta($conecta, $query, $valores);

 // 2º Forma correta
 $query = 'INSERT INTO REGISTRY (name, value) VALUES (?, ?)';
 $valores = array(
      $_POST['nome']
      $_POST['value']
 );
 $resultado2 = executaConsulta($conecta, $query, $valores);

 // 3º Forma correta
 // A função filter_input é utilizada para acessar variáveis globais de forma mais segura.
 // Existem outras funções deste tipo. http://php.net/manual/pt_BR/book.filter.php
 $query = 'INSERT INTO REGISTRY (name, value) VALUES (:name, :value)';
 $valores = array(
      ':name' => filter_input( INPUT_POST, 'nome', FILTER_SANITIZE_STRING );
      ':value' => filter_input( INPUT_POST, 'value', FILTER_SANITIZE_STRING );
 );
 $resultado3 = executaConsulta($conecta, $query, $valores);

Sobre query preparadas ou prepared statements

Alguns bancos de dados permitem utilizar um recurso de reaproveitamento de consultas. Seria algo como preparar um texto onde apenas algumas palavras mudam, e cada vez que for utilizar esse texto, é necessário informar apenas quais são as novas palavras.

Entretanto, nem todos os banco de dados suportam este recurso (hoje não é mais o caso do MySQL), e como o PDO tem como objetivo ser uma interface prática para uso de vários drivers de banco de dados, tiveram que implementar uma maneira que este recurso pudesse ser utilizado quando necessário. Para resolver este problema, o recurso é simulado pela função.

Na documentação existe estes exemplos:

$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");
$stmt->bindParam(':name', $name);
$stmt->bindParam(':value', $value);

// Inserindo uma linha
$name = 'one';
$value = 1;
$stmt->execute();

// Inserindo outra linha com diferentes valores
$name = 'two';
$value = 2;
$stmt->execute();

Forçando o PDO a usar queries preparadas nativas

Para forçar o PDO a sempre utilizar o recurso de queries preparadas nativas, adicione logo após iniciar a conexão:

$conexao->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

O PDO possui tratamento para se caso ocorra um erro, a versão emulada seja utilizada, porem existem algumas desvantagens em utilizar o recurso nativo em algumas versões

  • Não tiram vantagens do cache resultando em perda de performance;
  • Não podem ser executadas por alguns tipos de queries como “SHOW TABLES”;
  • Não comunicam bem com o tamanho de colunas em outras queries que usam “SHOW” retornando resultados distorcidos.
  • Chamar várias vezes procedurespode causar perda de conexão.

Algumas informações complementares em https://stackoverflow.com/questions/10113562/pdo-mysql-use-pdoattr-emulate-prepares-or-not

Binding de valores e variáveis

No PDO existem dois métodos que permitem associar parâmetros às suas queries, sendo elas o PDOStatement::bindParam e PDOStatement::bindValue.

O bindParam associa o nome de uma variável ao parâmetro da query, isto é, se o valor de uma variável for alterado e o método execute for chamado novamente, a query será executada com o novo valor.

$stmt = $dbh->prepare("INSERT INTO REGISTRY (name) VALUES (:name)");
$stmt->bindParam(':name', $name);

// Inserindo uma linha
$name = 'one';
$stmt->execute();

// Inserindo outra linha com diferentes valores
$name = 'two';
$stmt->execute();

Já o bindValue atribui um valor específico a um parâmetro de sua query, ou seja, para mudar o valor do parâmetro terá que chamar o método bindValue novamente.

$stmt = $dbh->prepare("INSERT INTO REGISTRY (name) VALUES (:name)");

// Inserindo uma linha
$stmt->bindValue(':name', 'one');
$stmt->execute();

// Inserindo outra linha com diferentes valores
$stmt->bindValue(':name', 'two');
$stmt->execute();

Em ambos os métodos é possível especificar qual o tipo deve ser utilizado para tratar o valor do parâmetro da query. O bindParam alem do tipo tambem é possível indicar outras opções como o tamanho máximo do valor.

Sugestões de melhorias

Melhoria no estilo de código

Recomendo dar uma lida na tentativa que a comunidade PHP tem feito de padronizar algumas coisas, a PSR-2 é um guia de como melhor formatar seu código. Melhorar este modelo é um bom ponto para começar a observar o que seu código pode melhorar e irá lhe auxiliar a encontrar tanto as falhas de segurança quanto alguns bugs.

Organização de parâmetros

Ao usar os parâmetros de forma “mágica” usando a função func_get_args() você terá problemas ao documentar, pois a assinatura de sua função não deixa explícito que é possível passar mais argumentos, isso deixará outros desenvolvedores confusos com seu código.

No código apresentado, não há a necessidade de a função receber infinitos parâmetros, pois a única coisa que o código da função realiza é obter um array de tudo que foi passado, retirando o que já é conhecido.

Para tornar a assinatura mais clara, você poderá definir um terceiro parâmetro com um valor padrão, no caso um array vazio, pois a função execute do PDO espera um array.

// Versão reescrita
function executaConsulta($conexao, $sql, $valores = array()){
    $preparado = $conexao->prepare($sql);
    $preparado->execute($valores);
    $resultado = $preparado->fetchAll();

    return $resultado;
}

Na função também troquei a função DOStatement::fetch() pela função DOStatement::fetchAll(), pois assim sua função sempre retornará todo o resultado obtido em um array. Trabalhar com array é muito mais fácil do que com os objetos do PDO.

Utilização da função

Ao utilizar a função, deixará mais claro se utilizar chaves no lugar do caractere curinga (?) assim como evitará que necessite passar o mesmo valor duas vezes, caso seja utilizado em dois lugares de sua query. Veja as duas possibilidades de uso:

// 1º forma
$sql = "SELECT * FROM se_professores WHERE id = ?";
$resultado1 = executaConsulta($conecta, $sql, array(1));

foreach ($resultado1 as $linha) {
    echo $linha['nome'];
}

// 2º forma
$sql = "SELECT * FROM se_professores WHERE id = :id";
$valores = array(':id' => 1);
$resultado2 = executaConsulta($conecta, $sql, $valores);

foreach ($resultado1 as $linha) {
    echo $linha['nome'];
}

Olha tudo depende de que forma ExecutaConsulta vai ser utilizada. Caso seja como no seu exemplo:

$sql="SELECT * FROM se_professores WHERE id=?";
$resultado=ExecutaConsulta($conecta,$sql,1);

não há nenhum problema óbvio de segurança, contudo nada no seu código impede chamadas deste tipo:

$userId = "1; DROP TABLE se_professores"; // user input com evil SQL Injection
$sql="SELECT * FROM se_professores WHERE $userId";
$resultado=ExecutaConsulta($conecta,$sql);

Então a resposta é que não há nada errado com sua função e ao mesmo tempo ela não garente um “uso seguro” do PDO.

Outra coisa, talvez você esteja usando apenas para testes o new PDO("mysql:host=localhost;dbname=sistemaescolar",'root',''); mas de qualquer forma é sempre bom lembrar, nunca use o usuário root da database em produção e nunca largue um usuário sem senha na database de produção.

A melhor forma (e mais recomendável) é a utilização correta do PDO. Embora seja um pouco mais trabalhosa para implementar, garante uma maior segurança no momento de executar a query. Isso porque o processo é feito em duas partes.

1) Criamos o modelo da query. Esse modelo nada mais é do que um molde do que será a query. Diferentemente dos demais métodos, você não vai inserir a variável em si neste momento. Vai apenas indicar em que lugar a variável será colocada. No caso, será logo após o “…nome =”.

$var = $pdo->prepare('SELECT * FROM tabela where nome = :nome');

2) Agora indicamos qual o valor vai ocupar o espaço indicado por “:nome”:

$var->bindValue(':nome', 'Nome da pessoa');

No final o código vai ficar mais ou menos assim:

<?php
$pdo = new PDO('mysql:host=localhost;dbname=crud', 'root', '');
$var = $pdo->prepare('SELECT * FROM tabela where nome = :nome');
$var->bindValue(':nome', 'Nome da pessoa');
$run = $var->execute();
$result = $var->fetchAll(PDO::FETCH_ASSOC);
var_dump($result);
?>

Existe também outra maneira. Uma forma mais rápida (mas não a mais indicada) é remover caracteres especiais das variáveis que serão utilizadas na query. Sem utilização de “;” (ponto-e-vírgula) e “‘” (aspas – simples ou duplas) e demais caracteres especiais é praticamente impossível executar o sql injection.

Veja o exemplo:

$password = preg_replace('/[^[:alnum:]_]/', '',$senha);

Se quiser mais informações:> http://www.devmedia.com.br/evitando-sql-injection-em-aplicacoes-php/27804

Fonte

Related Posts:

Qual a diferença entre AppCompatActivity e Activity? – android android-activity
Pergunta: Qual a diferença da AppCompatActivity para Activity ? A partir de qual versão a AppCompatActivity foi adicionada ao Android? Autor da pergunta Luhhh A diferença reside ...
Como abreviar palavras em PHP? – php string
Pergunta: Possuo informações comuns como nome de pessoas e endereços, e preciso que elas contenham no máximo 30 caracteres sem cortar palavras. Exemplo: 'Avenida Natalino João Brescansin' ...
Qual é a finalidade de um parêntese vazio numa declaração Lambda? – c# expressões-lambda característica-linguagem
Pergunta: Criei um exemplo de uma declaração Lambda sem argumentos, entretanto, estou com duvidas referente a omissão do parêntese vazio () na declaração. Veja o exemplo: class ...
Boas práticas para URI em API RESTful – api rest restful
Pergunta: Estou com dúvida em relação às URIs de alguns recursos da api que estou desenvolvendo. Tenho os recursos projetos e atividades com relação 1-N, ...
Dúvidas sobre a integração do MySQL com Java – java mysql netbeans
Pergunta: Estou criando um sistema no NetBeans, utilizando a linguagem Java e o banco de dados MySQL. Escrevi o seguinte código para realizar a conexão ...
Qual é a finalidade da pasta Model do framework Inphinit? – php inphinit
Pergunta: No Inphinit micro-framework existe a pasta Model que fica dentro da pasta application, e nela é onde ficam as classes, mas eu estou muito ...
Uso do ‘@’ em variáveis – javascript typescript coffeescript
Pergunta: Vejo em algumas linguagens que compilam para javascript, como TypeScript e CoffeeScript, o uso do @ em variáveis, como também, casos em que o ...
Qual tamanho máximo um arquivo JSON pode ter? – json arquivo
Pergunta: Vou dar um exemplo para conseguir explicar minha duvida: Preciso recuperar informação de imagens vindas de uma API, esse banco de imagens me retorna JSON's ...
O que é Teste de Regressão? – terminologia engenharia-de-software testes
Pergunta: Na matéria de Teste de Software o professor abordou um termo chamado Teste de Regressão, isto dentro da disciplina de teste de software. Sendo ...
O que é um construtor da linguagem? – php característica-linguagem
Pergunta: Em PHP, já li e ouvi várias vezes a respeito dos Construtores da Linguagem. Os casos que sempre ouvi falar deles foi em casos ...
Função intrínseca para converter numérico para string – cobol
Pergunta: Estou a tentar saber se existe alguma função intrínseca do COBOL para converter um data numérico para string sem precisar usar a cláusula REDEFINES: ( ...
Porque usar implements? – java android
Pergunta: Qual a diferença entre usar btn.setOnClickListener(new OnClickListener() { e public class MainActivity extends Activity implements OnClickListener{ Estive fazendo um curso de Android e meu professor falou que ...
O que é XHTML e quando deve ser usado? – html xml xhtml
Pergunta: O que eu sei é que o XHTML precisa ser XML válido. Isso implica, por exemplo, que todas as tags precisam ser fechadas. Por ...
Uma placa aceleradora de vídeo pode melhorar o desempenho não-gráfico? [fechada] – desempenho
Pergunta: Para desenvolver em Ruby on Rails, eu utilizo aqui uma máquina virtual do VirtualBox com Ubuntu Server 14.04 sem interface gráfica instalada. Recentemente descobri uma ...
Concat() VS Union() – c# .net
Pergunta: Qual a diferença entre Concat() e Union() ? Quando usar Concat() e quando usar Union() ? Somente pode ser usado em list ? ...

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *