PDO : bindParam

[luigi777]

Salve, è sicuro contro gli attacchi sql injection la funzione: bindParam
che uso cosi:

 $stmt = $db->prepare("INSERT INTO blog (subject, categories, content, is_public, data_reg) VALUES (:subject, :categories, :content, :is_public, :data_reg);");
        $stmt->bindParam(':subject', $subject);
        $stmt->bindParam(':categories', $categories);
        $stmt->bindParam(':content', $content);
		$stmt->bindParam(':is_public', $is_public);
		$stmt->bindParam(':data_reg', $data_reg);

grazie mille e aspetto risposta.

buona giornata.

 

[Longo8]

Bindparam consente di inserire dei filtri che un livello di sicurezza.
Comunque pdo non permette la protezione totale per tutti i possibili casi.
Ti consiglio di dare uno sguardo a questo thread e a questo.

 

[luigi777]

quindi cosa devo fare.?
grazie mille.

buona giornata.

 

[Longo8]

E' raro che un programmatore sia in grado di penetrare perchè si verifica raramente un attacco come quelli indicati dai link che ho suggerito.
Pdo, a prescindere da quel fatto, fornisce una sicurezza abbastanza alta con il prepare() perchè trasforma il dato in stringa e quindi non viene processato come eventuale codice.
In poche parole puoi anche lasciare così perchè il livello di sicurezza è alto ma, come ben saprai, in rete niente è sicuro al 100%