PDO - Objek Data PHP adalah lapisan akses basis data yang menyediakan metode akses yang seragam ke banyak basis data.
Ini tidak memperhitungkan sintaks khusus basis data, tetapi dapat memungkinkan proses peralihan basis data dan platform menjadi cukup mudah, cukup dengan mengganti string koneksi dalam banyak kasus.
Pernyataan yang disiapkan/kueri berparameter sudah cukup untuk mencegah injeksi urutan pertama pada pernyataan itu. Jika Anda menggunakan SQL dinamis yang tidak dicentang di tempat lain dalam aplikasi Anda, Anda masih rentan terhadap injeksi urutan kedua.
Injeksi orde kedua berarti data telah didaur ulang melalui database sekali sebelum dimasukkan dalam kueri, dan jauh lebih sulit untuk dilakukan. AFAIK, Anda hampir tidak pernah melihat serangan orde kedua yang sebenarnya, karena biasanya lebih mudah untuk melakukan rekayasa sosial.
PDO sedikit lebih lambat dari mysql _*. Tetapi memiliki portabilitas yang bagus. PDO menyediakan antarmuka tunggal di beberapa database. Itu berarti Anda dapat menggunakan banyak DB tanpa menggunakan mysql_query untuk mysql, mssql_query untuk SQL Server, dll. Cukup gunakan sesuatu seperti $db->query("INSERT INTO...") selalu. Apa pun driver database yang Anda gunakan.
Jadi, untuk proyek yang lebih besar atau portabel, PDO lebih disukai. Bahkan Zend Framework menggunakan PDO.
Injeksi SQL
Injeksi SQL
Injeksi SQL adalah teknik di mana pengguna jahat dapat menyuntikkan perintah SQL ke dalam pernyataan SQL, melalui input halaman web.
Perintah SQL yang disuntikkan dapat mengubah pernyataan SQL dan membahayakan keamanan aplikasi web.
Apakah pernyataan yang disiapkan PDO cukup untuk mencegah injeksi SQL?
Jawaban singkatnya adalah TIDAK, Persiapan PDO tidak akan melindungi Anda dari semua kemungkinan serangan SQL-Injection. Serangan contoh
Bagaimana cara menggunakan PDO?
Contoh:
$stmt = $dbh->prepare("SELECT * FROM tables WHERE names = :name");
$stmt->execute(array(':name' => $name));
Referensi
- http:/ /code.tutsplus.com/tutorials/pdo-vs-mysqli-which-should-you-use--net-24059
- http://code.tutsplus.com/tutorials/why-you-should-be-using-phps-pdo-for-database-access--net-12059
- Apakah pernyataan yang disiapkan PDO cukup untuk mencegah injeksi SQL?
- http://php.net/manual/en/book.pdo. php
