Venho postando uma série de informações relacionados a PDO e esclarecimentos sobre o uso do Prepared Statements, consequentemente recaímos sobre a prevenção de ataques de injeção SQL.
Muitos são os programadores que não tomam qualquer prevenção em suas aplicações ou sites para evitar ataques tão usuais e fáceis de se precaver, não se sabe se por preguiça, vicio ou falta de conhecimento, mas são práticas simples e que facilitam a vida do desenvolvedor, tanto em facilidade de desenvolvimento e leitura do código quanto em segurança da informação.
Para sermos específicos sobre o que seria um ataque de injeção SQL, experimente em uma aplicação que não utiliza o prepared statements a seguinte situação:
- Crie uma tela de autenticação do usuário;
- No seu formulário insira a seguinte instrução ‘ OR 1’
Observe que o valor recebido pelo servidor será SELECT * FROM tabela WHERE username = “” OR 1, como a expressão OR 1, representará sempre uma verdade (TRUE), o valor retornado será todos os usuários de seu banco de dados.
Observe uma segunda situação onde a instrução informada for igual a ‘; DELETE FROM tabela WHERE 1 OR username = ‘ realize o teste e verifique o resultado. É de imaginar que seria um grande delete em sua base de dados, correto?
Pois bem, vemos na internet inúmeras formas de tentar evitar esses tipos de ataque utilizando expressões regulares, funções enormes de validação, dentre outras alternativas, mas não vemos muitas pessoas se referindo ao Prepared Statements como uma poderosa arma contra esse tipo de ataque.
Mas o que é esse “Prepared Statements”?
São as conhecidas “consultas pré-prontas”, a diferença dessas consultas é que no lugar das variáveis você irá inserir os placeholders, marcador de lugar, normalmente representado por “?”, dessa maneira estaremos informando ao MySQL onde estarão cada informação.
Um exemplo básico de utilização do PDO:
// o método PDO::prepare() retorna um objeto da classe PDOStatement ou FALSE se ocorreu algum erro (neste caso use $pdo->errorInfo() para descobrir o que deu errado)
$stmt = $pdo->prepare(“SELECT * FROM tabela WHERE username = ?”);
// O método PDOStatement::bindValue() aceita como parâmetro a posição da interrogação e o valor a ser inserido na mesma
$stmt->bindValue(1, ‘ctasoftware’);
// executamos o statement
$stmt->execute();
// Com o método que segue poderemos pegar todos os valores retornados, a partir dele implementaremos nossa lógica para percorrer pegando todos os valores
$results = $stmt->fetchAll(PDO::FETCH_ASSOC);
Em suma, é possível evitar ataques, ter MAIOR PRODUTIVIDADE e segurança da informação, além disso já está comprovado que statements são executados mais rápidos que consultas normais.
Vamos criando mais posts explorando essa questão.
Vale a pesquisa no www.php.net sobre o assunto inclusive para abordar os métodos disponíveis.
