Mi è stato detto da qualcuno sulla rete che MariaDB non era suscettibile all'iniezione SQL cieca. Non ero a conoscenza di questo. Qualcuno può elaborare? Lo sto usando sul mio server e mi è stato detto di non passare a PDO perché non dovevo preoccuparmene.
Trovo che sia difficile da credere, e apparentemente così fa MariaDB loro stessi (h / t @schroeder ).
MariaDB è un fork di MySQL e "intende mantenere un'elevata compatibilità con MySQL, garantendo una capacità di sostituzione drop-in con equivalenza binaria della libreria e corrispondenza esatta con le API ei comandi MySQL" in base a Wikipedia . Puoi fare un'iniezione SQL cieca su MySQL, quindi perché non dovresti essere in grado di farlo su MariaDB?
In effetti, la possibilità di eseguire qualsiasi tipo di iniezione SQL è una vulnerabilità nell'applicazione e non nel database . Quindi la tua scelta del database SQL non dovrebbe davvero importare per questo.
Ma comunque, diciamo che la persona che ti ha detto questo è giusto (cosa che non sono). Ciò significa che non devi usare DOP o dichiarazioni preparate? No, no, no, mille volte no. Che dire dell'iniezione SQL ordinaria (non cieca)? Questo è ancora più pericoloso!
Per farla breve, basta usare PDO o istruzioni preparate.
Leggi altre domande sui tag sql-injection mariadb