一个 PHP +mysql 网站,只用 PDO 方式连接数据库,还会被拖库吗?

2017-03-23 14:42:42 +08:00
 Matrixer
在网上搜索 PDO 相关信息,基本上清一色看到能避免拖库风险,最多再说一句诸如某个版本以下的 PDO 有风险,要用更高版本的。

那么假如说现在有一个网站,所有数据库操作全是基于 PDO 的,没有任何手动拼接 SQL 语句的操作,对外只开放 80 端口,不考虑内鬼往代码里加后门这种情况,是不是就不存在注入风险了?会不会依然被拖库呢?
2887 次点击
所在节点    PHP
11 条回复
UnisandK
2017-03-23 14:43:57 +08:00
然后被旁注了(逃
akira
2017-03-23 14:51:38 +08:00
只能说会好很多
Felldeadbird
2017-03-23 14:56:41 +08:00
我记得是 5.3.8 及以上版本就没问题了,并且要禁止本地模拟 预处理。基本可以防止注入了。
但是还有 XSS ,其他软件端口公开,弱口令,禁用高权限账号什么的。。
ylsc633
2017-03-23 15:24:46 +08:00
如果数据库所在的服务器 ...........
surfire91
2017-03-23 16:57:53 +08:00
注入与被脱裤不能划等号
surfire91
2017-03-23 16:59:16 +08:00
接上,而且跟 PDO 没有直接关系,防注入是依赖参数绑定,这个不止 PDO 支持, mysqli 也支持。
changwei
2017-03-23 17:08:58 +08:00
入侵网站的本质是拿到 webshell 或者提权,如果还有上传漏洞或者其他方式可以写入 webshell ,或者 ssh , 3389 的密码都是弱口令,那也不安全。
hasdream
2017-03-23 17:59:04 +08:00
不拼接 sql 能解决百分之 99 的注入
lsido
2017-03-24 02:21:01 +08:00
PDO 基本能解决注入问题,脱裤不止注入
aksoft
2017-03-24 08:35:58 +08:00
你项目的价值还没有安全的价格高。。。
lan894734188
2017-03-24 09:12:47 +08:00
比如 redis 绑定了 0.0.0.0 有漏洞的版本一样可以脱裤 pdo 只是防止注入而已

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/349735

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX