[PDO] - dubbio su sicurezza e performance.

[cichity74]

Sto migrando a PDO, ed ho dei dubbi in merito alla sicurezza (SQL injection) e performance,
vorrei sapere tra i seguenti metodi quale è il più sicuro / veloce;
metodo 1: prepare bindValue & execute
metodo 2: prepare execute array

Codice PHP:

<?php 
// test pdo
try {
    $dsn='mysql:host=localhost;dbname=mydb;charset=utf8';
    $username='*****';
    $password='******';
    $dbh = new PDO($dsn, $username, $password);
    $dbh->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
    $dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
}catch(PDOException $e){
    print_r($e->getMessage());
}
//URL ?id_categoria=13&id_marca=1&keyword=a 
    $id_categoria=$_GET['id_categoria'];
    $id_marca=$_GET['id_marca'];
    $keyword=$_GET['keyword'];
//--------------------------------------------------------------------------------------------
// 1 Test bindValue
//--------------------------------------------------------------------------------------------
$sql='SELECT * FROM `prodotti` WHERE `id_categoria`=? AND `id_marca`=? AND `prodotto` LIKE ? LIMIT 10';
$sth=$dbh->prepare($sql);
$sth->bindValue(1, $id_categoria, PDO::PARAM_INT);
$sth->bindValue(2, $id_marca, PDO::PARAM_INT);
$sth->bindValue(3, "%$keyword%", PDO::PARAM_STR);
$sth->execute();
echo '<pre>';
echo "1 Test bindValue\n";
while($row=$sth->fetch(PDO::FETCH_ASSOC)){
    echo 'id_categoria -> '.$row['id_categoria']."\n";
    echo 'id_marca -----> '.$row['id_marca']."\n";
    echo 'prodotto -----> '.$row['prodotto']."\n";
    echo "-------------------------------------------------------------\n";
}
echo '</pre>';
//--------------------------------------------------------------------------------------------
// 2 Test execute array
//--------------------------------------------------------------------------------------------
$sql='SELECT * FROM `prodotti` WHERE `id_categoria`=? AND `id_marca`=? AND `prodotto` LIKE ? LIMIT 10';
$sth=$dbh->prepare($sql);
$sth->execute(array((int)$id_categoria, (int)$id_marca, "%$keyword%"));
echo '<pre>';
echo "2 Test execute array\n";
while($row=$sth->fetch(PDO::FETCH_ASSOC)){
    echo 'id_categoria -> '.$row['id_categoria']."\n";
    echo 'id_marca -----> '.$row['id_marca']."\n";
    echo 'prodotto -----> '.$row['prodotto']."\n";
    echo "-------------------------------------------------------------\n";
}
echo '</pre>';
?>

Grazie

[Santino83_02]

come da documentazione http://www.php.net/manual/en/pdostatement.execute.php execute tratta tutti i parametri come se fossero stringhe. Quindi se vuoi un enforce del tipo di dato, o se devi fare cose piu complicate, devi usare bindValue.

[cichity74]

ti ringrazio per i chiarimenti... alcune domande.. c'è differenza in termini di performance tra i due metodi? per la sicurezza mi sento orfano di mysql_real_escape_string e non so come processare i get e i post in PDO grazie

[Santino83_02]

Sulle performance non lo so ma credo che siano le stesse perchè internamente execute userà immagino gli stessi meccanismi di bindValue solo trattando il dato come stringa e non distinguendo tra tipi e tipi. Sul "come trattare i dati del GET/POST" è sempre scritto nella documentazione che

Calling PDO:repare() and PDOStatement::execute() for statements that will be issued multiple times with different parameter values optimizes the performance of your application by allowing the driver to negotiate client and/or server side caching of the query plan and meta information, and helps to prevent SQL injection attacks by eliminating the need to manually quote the parameters.

ovviamente puoi aiutare e aiutarti validando l'input del sistema prima di passare alle query. Questa risposta mi sembra poi molto interessante:

http://stackoverflow.com/questions/1...-sql-injection

[cichity74]

grazie per i chiarimenti e la documentazione.