Dubbio su MySqli prepared statements e sicurezza

Dubbio su MySqli prepared statements e sicurezza postato il 07/01/2010 22:20:34 nel forum programmazione, gdrcd e open source e modificato da dyrr il 07/01/2010 22:40:07

Ho iniziato a leggermi un pò la parte dei prepared statements in PHP grazie all'estensione MySqli per via della maggiore sicurezza e performance in generale di questi e la mia domanda è questa:

Quanto sono a prove di SQL Injection? Nel senso una query tipo in questo script di prova:

<?php
$user_p = (isset($_POST['user_p']))? $_POST['user_p'] : "";
$password_p = (isset($_POST['password_p']))? $_POST['password_p'] : "";

if (($user_p != "") && ($password_p != "")) {

//$password_p = hash(sha512, $password_p);

$db = new mysqli("localhost", "root", "", "db_di_prova");
$stmt = $db -> prepare("Select user, password FROM user WHERE user = ? AND password = ? LIMIT 0,1");
$stmt -> bind_param("ss", $user_p, $password_p);
$stmt -> execute();
$stmt->store_result();
if (($stmt->num_rows) == 0) {
echo "Utente non riconosciuto (01)";
} else {
$stmt->bind_result($user, $password);
$stmt->fetch();
if (($user == $user_p) && ($password == $password_p)) {
echo "OK";
} else {
echo "Utente non riconosciuto (02)";
}
}
$stmt->free_result();
$stmt->close();
$db->close();

}
?>

In teoria il caso che ho segnato con "utente non riconosciuto (02)" dovrebbe essere possibile solo in caso di una sql injection e mi chiedevo quanto l'eseguire la query usando i prepared statements possa sufficente da sola a prevenire quel tipo di attacco?

P.S.: ho messo come commento la riga di conversione della pass solo per comodità di fare alcune prove di manipolazione della query.

il tutto ipotizzato su un server con magic quotes gpc settato su off.

Mi piacerebbe avere l'opinione di qualcuno che ha gia esperienza conq uesto metodo per le query riguardo alla sicurezza di queste.

Grazie in anticipo

08/01/2010 21:50:24

Il mio era un discorso generico ho usato il codice di una prova che stavo facendo per non avere due chilometri di codice da analizzare ho messo come commento il pezzo con l'hash proprio per chiedere quanto una query con degli input non filtrati da nulla ne da escape dei caratteri, ne da altro se fatta con i prepared statements possa essere sicura.

Il mio bubbio è quanto da solo l'uso dei prepared statements possa prevenire quel tipo di attacco