V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Matrixer
V2EX  ›  PHP

一个 PHP +mysql 网站,只用 PDO 方式连接数据库,还会被拖库吗?

  •  
  •   Matrixer · 2017-03-23 14:42:42 +08:00 · 2872 次点击
    这是一个创建于 2806 天前的主题,其中的信息可能已经有所发展或是发生改变。
    在网上搜索 PDO 相关信息,基本上清一色看到能避免拖库风险,最多再说一句诸如某个版本以下的 PDO 有风险,要用更高版本的。

    那么假如说现在有一个网站,所有数据库操作全是基于 PDO 的,没有任何手动拼接 SQL 语句的操作,对外只开放 80 端口,不考虑内鬼往代码里加后门这种情况,是不是就不存在注入风险了?会不会依然被拖库呢?
    11 条回复    2017-03-24 09:12:47 +08:00
    UnisandK
        1
    UnisandK  
       2017-03-23 14:43:57 +08:00
    然后被旁注了(逃
    akira
        2
    akira  
       2017-03-23 14:51:38 +08:00
    只能说会好很多
    Felldeadbird
        3
    Felldeadbird  
       2017-03-23 14:56:41 +08:00
    我记得是 5.3.8 及以上版本就没问题了,并且要禁止本地模拟 预处理。基本可以防止注入了。
    但是还有 XSS ,其他软件端口公开,弱口令,禁用高权限账号什么的。。
    ylsc633
        4
    ylsc633  
       2017-03-23 15:24:46 +08:00
    如果数据库所在的服务器 ...........
    surfire91
        5
    surfire91  
       2017-03-23 16:57:53 +08:00
    注入与被脱裤不能划等号
    surfire91
        6
    surfire91  
       2017-03-23 16:59:16 +08:00
    接上,而且跟 PDO 没有直接关系,防注入是依赖参数绑定,这个不止 PDO 支持, mysqli 也支持。
    changwei
        7
    changwei  
       2017-03-23 17:08:58 +08:00 via Android
    入侵网站的本质是拿到 webshell 或者提权,如果还有上传漏洞或者其他方式可以写入 webshell ,或者 ssh , 3389 的密码都是弱口令,那也不安全。
    hasdream
        8
    hasdream  
       2017-03-23 17:59:04 +08:00 via Android
    不拼接 sql 能解决百分之 99 的注入
    lsido
        9
    lsido  
       2017-03-24 02:21:01 +08:00 via Android
    PDO 基本能解决注入问题,脱裤不止注入
    aksoft
        10
    aksoft  
       2017-03-24 08:35:58 +08:00
    你项目的价值还没有安全的价格高。。。
    lan894734188
        11
    lan894734188  
       2017-03-24 09:12:47 +08:00 via Android
    比如 redis 绑定了 0.0.0.0 有漏洞的版本一样可以脱裤 pdo 只是防止注入而已
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4168 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 05:22 · PVG 13:22 · LAX 21:22 · JFK 00:22
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.